DNS - based Authentication of Named Entities

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

  • Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS
  • Mieux sécuriser les accès chiffrés des clients vers le serveurs

Le principe est décrit dans les normes IETF suivantes :

  • RFC 6394[1]: Cas d’utilisation DANE
  • RFC 6698[2]: Protocole DANE

Liens externes[modifier | modifier le code]

L'AFNIC y consacre un dossier thématique (en anglais et en français): Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE.

Support[modifier | modifier le code]

Navigateurs internet[modifier | modifier le code]

  • Google Chrome : pas de support, comme les clés de 1024 bits de la première version de DNSSEC ne sont pas reconnues[3]. Selon Adam Langley, le code a été écrit[4], et bien qu'absent de Chrome aujourd'hui[5], il est disponible en add-on [6],[7].
  • Mozilla Firefox nécessite un add-on[8]

Serveurs[modifier | modifier le code]

Services[modifier | modifier le code]

Bibliothèques de chiffrement[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. (en) Request for comments no 6394.
  2. (en) Request for comments no 6698.
  3. (en) Duane Wessels, Verisign, « Increasing the Strength Zone Signing Key for the Root Zone », Verisign.com, (consulté le 29 décembre 2016)
  4. (en) Adam Langley, « DANE stapled certificates », ImperialViolet, (consulté le 16 avril 2014)
  5. (en) Adam Langley, « DNSSEC authenticated HTTPS in Chrome », ImperialViolet, (consulté le 16 avril 2014)
  6. How To Add DNSSEC Support To Google Chrome
  7. DNSSEC Validator - Chrome add-on
  8. (en) « DNSSEC/TLSA Validator »
  9. (en) « Postfix TLS Support - DANE », Postfix.org (consulté le 16 avril 2014)
  10. (en) Jakob Schlyter, Kirei AB, « DANE », RTR-GmbH (consulté le 17 décembre 2015)
  11. (en) « Halon DANE support », Halon Security AB (consulté le 17 décembre 2015)
  12. (see Exim experimental spec)
  13. (en) posteo.de, « Posteo unterstützt DANE/TLSA »
  14. (en) mailbox.org, « DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org »
  15. (en) dotplex.de, « Secure Hosting mit DANE/TLSA »
  16. (en) mail.de, « mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany" »
  17. tutanota.de, « DANE Everywhere?! Let’s Make the Internet a Private Place Again » (consulté le 17 décembre 2015)
  18. (en) Richard Levitte, « DANE CHANGES », (consulté le 13 janvier 2016)
  19. (en) « Verifying a certificate using DANE (DNSSEC) », Gnu.org
  20. « Bug #77327 for Net-DNS: DANE TLSA support », rt.cpan.org
  21. « Net_DNS2 v1.2.5 – DANE TLSA Support »
  22. « A C++ library for DANE protocols, focusing on secure email »