DANE

Hur kan vi vara säkra på att den krypterade anslutningen vi upprättar, till exempel när vi skickar e-post, verkligen går till rätt server och använder ett giltigt certifikat? DANE är en teknik som använder det befintliga DNS-systemet, förstärkt med DNSSEC, för att skapa ett extra lager av förtroende och säkerhet för krypterade internettjänster.

Vad är DANE?

DANE (DNS-based Authentication of Named Entities) är ett internetprotokoll som specificerar hur man kan använda DNS-systemet, specifikt med säkerhetstillägget DNSSEC, för att binda TLS-certifikat eller publika nycklar direkt till ett domännamn. Detta görs genom att publicera en speciell DNS-post, kallad TLSA-post, som innehåller information om vilket certifikat eller vilken nyckel som är giltig för en viss tjänst (t.ex. en e-postserver eller webbserver) på den domänen.

Varför är DANE viktigt?

DANE erbjuder flera säkerhetsfördelar, särskilt för att säkra kommunikation mellan servrar (t.ex. SMTP för e-post):

• Skydd mot Man-in-the-Middle-attacker: Genom att verifiera certifikatet mot informationen i DNS (som skyddas av DNSSEC) kan klienter upptäcka om någon försöker presentera ett falskt certifikat.
• Oberoende av traditionella certifikatutfärdare (CA): DANE möjliggör scenarier där certifikat kan valideras utan att enbart förlita sig på den traditionella hierarkin av betrodda CAs. Man kan till exempel specificera exakt vilket certifikat som ska användas eller vilken CA som får utfärda certifikat för domänen.
• Förbättrad säkerhet för SMTP: DANE är särskilt användbart för att säkerställa att TLS-kryptering mellan e-postservrar (MTA-till-MTA) är autentiserad och skyddad mot nedgraderingsattacker.
• Ökad tillförlitlighet: Ger ett extra verifieringssteg för att säkerställa äktheten hos den server man ansluter till.

Hur fungerar DANE?

Processen involverar DNSSEC som en grundförutsättning för att säkerställa att DNS-svaren är autentiska och inte har manipulerats:

1. En klient (t.ex. en e-postserver) vill upprätta en säker TLS-anslutning till en server (t.ex. mottagarens e-postserver).
2. Klienten gör en DNS-uppslagning för att hitta TLSA-posten för den specifika tjänsten och domänen (t.ex. _25._tcp.example.com). DNSSEC används för att validera att svaret är korrekt.
3. Servern presenterar sitt TLS-certifikat under anslutningsförhandlingen.
4. Klienten jämför informationen i det presenterade certifikatet (eller dess publika nyckel, eller information om dess utfärdare) med informationen och reglerna som specificeras i den validerade TLSA-posten.
5. Om informationen matchar enligt reglerna i TLSA-posten, kan klienten lita på certifikatet och fortsätta med den säkra anslutningen. Om det inte matchar, kan anslutningen avvisas eller flaggas som osäker.

TLSA-posten innehåller fält som specificerar hur verifieringen ska ske (Certificate Usage), vilken del av certifikatet som ska matchas (Selector), och vilken typ av matchning som ska göras (Matching Type).

DANE stärker säkerheten för krypterade internettjänster genom att förankra förtroendet för TLS-certifikat i det DNSSEC-säkrade DNS-systemet, vilket ger ett robust skydd mot förfalskade certifikat och Man-in-the-Middle-attacker.