DANSK

DANE ( DNS-baserad autentisering av namngivna enheter ) är en uppsättning  IETF - specifikationer som tillhandahåller autentisering av adresseringsobjekt ( domännamn ) och tillhandahållna tjänster med hjälp av DNS . Detta är en ny standard som introducerades 2011-2012.

Beskrivning

Många moderna applikationer använder certifikatbaserad autentisering i säkra transportförbindelser, vilket gör det möjligt för användare att verifiera att de är anslutna till exakt den server de ville, och som kallas det och ingen annan. Vanligtvis sker denna typ av autentisering genom en offentlig nyckelinfrastruktur som använder en kedja av certifikat som slutar med ett CA-certifikat som är känt för klienten . DANE tillhandahåller överföring av ett pålitligt certifikat, som inte tidigare känt till klienten, med hjälp av DNS med obligatorisk autentisering av DNS-svaret med hjälp av DNSSEC .

Hur det fungerar

Innan en säker anslutning upprättas ( HTTPS , TLS för alla protokoll som stöds) gör klienten en serie ytterligare DNS-frågor. Som svar på dessa förfrågningar överförs parametrarna för certifikatet eller själva certifikatet till klienten. I detta fall upprättar klienten en anslutning till servern, vars adress valideras av klientens DNS-server genom DNSSEC. Efter att anslutningen har öppnats verifierar klienten serverns svar med hjälp av det befintliga certifikatet eller dess digitala fingeravtryck (fingeravtryck).

Resursposter

IANA har standardiserat en ny TLSA-post (kod 52). Inspelningsformat:

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+ | Cert. Användning | väljare | Matchande typ | / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ / / / /Certifikatföreningsdata/ / / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

Beskrivning av fält

• Certifikatanvändning - typen av det överförda certifikatet
• Väljare - dimensionen för de överförda data
• Matchningstyp - typ av överförd data
• Certifikatföreningsdata - certifikatdata

Exempel på DNS-fråga

När en säker anslutning upprättas med example.org-servern på TCP-port 443, utför klienten en ytterligare begäran av formuläret

I TLSA _443._tcp.example.org

DNS-svar

Fullständigt PKI-certifikat:

_443._tcp.example.com. I TLSA ( 3 0 0 30820307308201efa003020102020...)

Länkar

• RFC 6394 , Användningsfall och krav för DNS-baserad autentisering av namngivna enheter (DANE  )
• RFC 6698 , DNS-baserad autentisering av namngivna enheter (DANE) Transport Layer Security (TLS ) Protocol: TLSA 
• DANE - DNS:s nya roll i säkerhet  - Artikel i Open Systems Magazine, nr 03, 2013

Internetsäkerhetsmekanismer _
Kryptering och trafikfiltrering _	Fysiskt lager Fysisk isolering Länklager Säkerhet för nätverksgränssnittslager PPP krypto gateway hanterad switch nätverkslager IPsec Multicast- NAT HOPPA SPI Virtuell routing och paketfilter transportlager ESP NBAR ObsTCP SRTP SSTP tcpcrypt Proxyserver TLS 1.3 sessionslager L2TP MPPE PPTP Sessionsnivå gateway Verkställande nivå DTLS SSL STARTTLS TLS Appliceringsskikt ALG DNSCrypt DNSCurve DoH Punkt DNSSEC FTPS HSTS HTTPS MSE/PE/ QUIC SCP SFTP S-HTTP SILKE S/MIME SSH XMPP Webbapplikationsbrandvägg
Autentisering	DANSK DIAMETER EAP HOTP HTTPsec ISAKMP Kerberos MAC MS-CHAP NTLM OCRA PEAP RADIE Säker Token SecurID SASL SCRAM SRP TACACS TACACS+ TOTP utmaningssvar
Datorskydd	Applikationsbrandvägg Bastion värd DLP DMZ IDS IPC Antivirusprogram Nätverkssäkerhet Proaktivt försvar
IP-telefonisäkerhet	VoIP VPN ZRTP Säkerhet på Skype Kryptofon
Anonymisering av trafiken	routing Anonyma nätverk Lök routing Blanda nätverk vitlök routing
Trådlös säkerhet	Säkerhet i trådlösa ad hoc-nätverk Säkerhet i WiMAX-nätverk Wi-Fi-säkerhet