DÁN

A DANE ( nevesített entitások DNS-alapú hitelesítése ) olyan IETF - specifikációk halmaza, amelyek a címzési objektumok ( tartománynevek ) és a DNS segítségével nyújtott szolgáltatások hitelesítését biztosítják . Ez egy új szabvány, amelyet 2011-2012-ben vezettek be.

Leírás

Sok modern alkalmazás tanúsítvány alapú hitelesítést használ a biztonságos szállítási kapcsolatokban, ami lehetővé teszi a felhasználók számára, hogy ellenőrizzék, hogy pontosan ahhoz a szerverhez csatlakoznak , amelyiket szerettek volna, és amelyet így hívnak, és nem másként. Ez a fajta hitelesítés általában nyilvános kulcsú infrastruktúrán keresztül történik, az ügyfél által ismert CA-tanúsítvánnyal végződő tanúsítványlánc használatával . A DANE biztosítja az ügyfél által korábban nem ismert megbízható tanúsítvány átvitelét a DNS-en keresztül, a DNS-válasz kötelező hitelesítésével a DNSSEC segítségével .

Hogyan működik

Biztonságos kapcsolat ( HTTPS , TLS bármely támogatott protokoll esetén) létrehozása előtt az ügyfél további DNS-lekérdezéseket hajt végre. Ezekre a kérésekre válaszul a tanúsítvány paraméterei vagy maga a tanúsítvány továbbításra kerül az ügyfélhez. Ebben az esetben a kliens kapcsolatot létesít a szerverrel, melynek címét a kliens DNS-kiszolgálója a DNSSEC-en keresztül érvényesíti. A kapcsolat megnyitása után a kliens a meglévő tanúsítvány vagy annak digitális ujjlenyomata (ujjlenyomat) segítségével ellenőrzi a szerver válaszát.

Erőforrás rekordok

Az IANA egy új TLSA bejegyzést szabványosított (52-es kód). Felvételi formátum:

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+ | Cert. Használat | választó | Egyező típus | / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ / / / /Tanúsítvány társítási adatok/ / / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

A mezők leírása

Tanúsítványhasználat – a továbbított tanúsítvány típusa
Selector - a továbbított adatok mérete
Matching Type - a továbbított adatok típusa
Tanúsítványtársítási adatok - tanúsítvány adatai

DNS-lekérdezési példa

Amikor biztonságos kapcsolatot létesít az example.org szerverrel a 443-as TCP-porton, az ügyfél egy további kérést hajt végre a következő formában

A TLSA-ban _443._tcp.example.org

DNS válasz

Teljes PKI tanúsítvány:

_443._tcp.example.com. A TLSA-ban ( 3 0 0 30820307308201efa003020102020...)

Linkek

RFC 6394 , A megnevezett entitások DNS-alapú hitelesítésének használati esetei és követelményei (DANE )
RFC 6698 , A DNS-alapú, megnevezett entitások hitelesítésének (DANE) szállítási rétegbiztonsági (TLS ) protokollja: TLSA
DANE – A DNS új szerepe a biztonságban – Cikk az Open Systems Magazine-ban, 2013. 03. szám

Internet biztonsági mechanizmusok

Titkosítás és forgalomszűrés _

Fizikai réteg	Fizikai elszigeteltség
Link réteg	A hálózati interfész réteg biztonsága PPP kripto átjáró kezelt kapcsoló
hálózati réteg	IPsec Multicast NAT UGRÁS SPI Virtuális útválasztás és csomagszűrő
szállítóréteg	ESP NBAR ObsTCP SRTP SSTP tcpcrypt Proxy szerver TLS 1.3
munkamenet réteg	L2TP MPPE PPTP Munkamenet szintű átjáró
Vezetői szint	DTLS SSL STARTTLS TLS
Alkalmazási réteg	ALG DNSCrypt DNS-görbe DoH Pont DNSSEC FTPS HSTS HTTPS MSE/PE/ QUIC SCP SFTP S-HTTP SELYEM S/MIME SSH XMPP Webes alkalmazások tűzfala

Hitelesítés

Számítógép védelem

IP telefonbiztonság

VoIP VPN
ZRTP
Biztonság Skype-on
Kriptofon

Forgalom anonimizálása

Vezetéknélküli Biztonság