DNS - based Authentication of Named Entities

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

• Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS
• Mieux sécuriser les accès chiffrés des clients vers les serveurs

Le principe est décrit dans les normes IETF suivantes :

• RFC 6394^[1]: Cas d’utilisation DANE
• RFC 6698^[2]: Protocole DANE

Liens externes

L'Afnic y consacre un dossier thématique (en anglais et en français): Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE.

Support

Navigateurs internet

• Google Chrome : pas de support, comme les clés de 1024 bits de la première version de DNSSEC ne sont pas reconnues^[3]. Selon Adam Langley, le code a été écrit^[4], et bien qu'absent de Chrome aujourd'hui^[5], il est disponible en add-on ^[6],[7].
• Mozilla Firefox nécessite un add-on^[8]. Ce dernier n'est cependant pas disponibles pour les versions de Firefox supérieures à la 56.

Serveurs

• Postfix^[9].
• Halon^[10],[11].
• Exim, en expérimental^[12].

Services

• Posteo^[13].
• mailbox.org^[14].
• Dotplex^[15].
• mail.de^[16].
• Tutanota^[17].
• Mailfence.

Bibliothèques de chiffrement

• OpenSSL^[18].
• GnuTLS^[19].
• Net::DNS^[20].
• Net DNS2^[21].
• libsmaug^[22].