DANE

DANE (англ. DNS-based Authentication of Named Entities) — набор спецификаций IETF, обеспечивающих аутентификацию объектов адресации (доменных имён) и предоставляемых сервисов с помощью DNS. Это новый стандарт, вводимый в действие в 2011-2012 годах.

Данные в этой статье приведены по состоянию на 2012 г. Вы можете помочь, обновив информацию в статье.

Описание

Многие современные приложения используют аутентификацию на базе сертификатов в защищённых транспортных соединениях, позволяя пользователям удостоверяться в подключении именно к тому серверу, к которому они хотели и который называется именно так, а не иначе. Обычно аутентификация такого рода происходит через инфраструктуру открытых ключей с использованием цепочки сертификатов, заканчивающейся известным клиенту сертификатом удостоверяющего центра. DANE предусматривает передачу доверенного сертификата, не известного ранее клиенту, средствами DNS с обязательной проверкой подлинности ответа DNS средствами DNSSEC.

Принцип работы

Перед установлением безопасного соединения (HTTPS, TLS для любого поддерживающего протокола) клиент совершает ряд дополнительных DNS-запросов. В ответах на эти запросы клиенту передаются параметры сертификата или сам сертификат. При этом клиент устанавливает связь с сервером, адрес которого валидирован DNS-сервером клиента посредством DNSSEC. После открытия соединения клиент верифицирует ответ сервера при помощи имеющегося сертификата либо его цифрового отпечатка (fingerprint).

Ресурсные записи

IANA стандартизировала одну новую запись TLSA (код 52). Формат записи:

                       1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |  Cert. Usage  |   Selector    | Matching Type |               /
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+               /
  /                                                               /
  /                 Certificate Association Data                  /
  /                                                               /
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Описание полей

• Certificate Usage — тип передаваемого сертификата
• Selector — размерность передаваемых данных
• Matching Type — тип передаваемых данных
• Certificate Association Data — данные сертификата

Пример DNS-запроса

Клиент при установлении защищённого соединения с сервером example.org по TCP-порту 443 выполняет дополнительный запрос вида

IN TLSA _443._tcp.example.org

DNS-ответ

Полный сертификат PKI:

  _443._tcp.example.com. IN TLSA (
     3 0 0 30820307308201efa003020102020... )

См. также

• Дейн

Напишите отзыв о статье "DANE"

Ссылки

• RFC 6394, Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
• RFC 6698, The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
• [www.osp.ru/os/2013/03/13035117/ DANE — новая роль DNS в обеспечении безопасности] - статья в журнале «Открытые системы», № 03, 2013

Механизмы безопасности в Интернете Шифрование трафика Физический уровень Криптошлюз Канальный уровень L2TP • PPP • PPTP Сетевой уровень Multicast encryption • SKIP Транспортный уровень NBAR • SRTP • SSTP • Tcpcrypt Сеансовый уровень SSL • STARTTLS • TLS Прикладной уровень DNSCurve • DNSSEC • FTPS • HSTS • HTTPS • MSE/PE/PHE • SCP • SFTP • S-HTTP • SILK • SSH • XMPP Аутентификация DANE • DIAMETER • EAP • HOTP • HTTPsec • IPsec • Kerberos • MAC • NTLM • OCRA • PEAP • SecurID • SASL • SCRAM • SRP • TACACS+ • TOTP • Вызов-ответ Защита компьютера Bastion host • DLP • DMZ • IDS • SPI Защита IP-телефонии VoIP VPN • ZRTP • Безопасность в Skype • Криптофон Анонимизация трафика Анонимные сети • Луковая маршрутизация • Микс-сети • Чесночная маршрутизация Защита беспроводных сетей Безопасность в беспроводных самоорганизующихся сетях • Безопасность в сетях WiMAX • Защита беспроводной Wi-Fi сети • Защита в сетях Wi-Fi

Отрывок, характеризующий DANE

Дождик прошел, только падал туман и капли воды с веток деревьев. Денисов, эсаул и Петя молча ехали за мужиком в колпаке, который, легко и беззвучно ступая своими вывернутыми в лаптях ногами по кореньям и мокрым листьям, вел их к опушке леса.
Выйдя на изволок, мужик приостановился, огляделся и направился к редевшей стене деревьев. У большого дуба, еще не скинувшего листа, он остановился и таинственно поманил к себе рукою.
Денисов и Петя подъехали к нему. С того места, на котором остановился мужик, были видны французы. Сейчас за лесом шло вниз полубугром яровое поле. Вправо, через крутой овраг, виднелась небольшая деревушка и барский домик с разваленными крышами. В этой деревушке и в барском доме, и по всему бугру, в саду, у колодцев и пруда, и по всей дороге в гору от моста к деревне, не более как в двухстах саженях расстояния, виднелись в колеблющемся тумане толпы народа. Слышны были явственно их нерусские крики на выдиравшихся в гору лошадей в повозках и призывы друг другу.
– Пленного дайте сюда, – негромко сказал Денисоп, не спуская глаз с французов.
Казак слез с лошади, снял мальчика и вместе с ним подошел к Денисову. Денисов, указывая на французов, спрашивал, какие и какие это были войска. Мальчик, засунув свои озябшие руки в карманы и подняв брови, испуганно смотрел на Денисова и, несмотря на видимое желание сказать все, что он знал, путался в своих ответах и только подтверждал то, что спрашивал Денисов. Денисов, нахмурившись, отвернулся от него и обратился к эсаулу, сообщая ему свои соображения.
Петя, быстрыми движениями поворачивая голову, оглядывался то на барабанщика, то на Денисова, то на эсаула, то на французов в деревне и на дороге, стараясь не пропустить чего нибудь важного.
– Пг'идет, не пг'идет Долохов, надо бг'ать!.. А? – сказал Денисов, весело блеснув глазами.
– Место удобное, – сказал эсаул.
– Пехоту низом пошлем – болотами, – продолжал Денисов, – они подлезут к саду; вы заедете с казаками оттуда, – Денисов указал на лес за деревней, – а я отсюда, с своими гусаг'ами. И по выстг'елу…
– Лощиной нельзя будет – трясина, – сказал эсаул. – Коней увязишь, надо объезжать полевее…
В то время как они вполголоса говорили таким образом, внизу, в лощине от пруда, щелкнул один выстрел, забелелся дымок, другой и послышался дружный, как будто веселый крик сотен голосов французов, бывших на полугоре. В первую минуту и Денисов и эсаул подались назад. Они были так близко, что им показалось, что они были причиной этих выстрелов и криков. Но выстрелы и крики не относились к ним. Низом, по болотам, бежал человек в чем то красном. Очевидно, по нем стреляли и на него кричали французы.