DANSKER

DANE ( DNS-based Authentication of Named Entities ) er et sæt  IETF - specifikationer , der giver godkendelse af adresseringsobjekter ( domænenavne ) og leverede tjenester ved hjælp af DNS . Dette er en ny standard introduceret i 2011-2012.

Beskrivelse

Mange moderne applikationer bruger certifikatbaseret autentificering i sikre transportforbindelser, hvilket giver brugerne mulighed for at verificere, at de er forbundet til præcis den server, de ønskede, og som kaldes det og ingen anden. Typisk sker denne form for godkendelse gennem en offentlig nøgleinfrastruktur ved hjælp af en kæde af certifikater, der ender med et CA-certifikat, som klienten kender . DANE sørger for overførsel af et betroet certifikat, som ikke tidligere er kendt af klienten, ved hjælp af DNS med obligatorisk autentificering af DNS-svaret ved hjælp af DNSSEC .

Sådan virker det

Før der etableres en sikker forbindelse ( HTTPS , TLS for enhver understøttet protokol), foretager klienten en række yderligere DNS-forespørgsler. Som svar på disse anmodninger sendes parametrene for certifikatet eller selve certifikatet til klienten. I dette tilfælde etablerer klienten en forbindelse med serveren, hvis adresse valideres af klientens DNS-server gennem DNSSEC. Efter at forbindelsen er åbnet, verificerer klienten serverens svar ved hjælp af det eksisterende certifikat eller dets digitale fingeraftryk (fingeraftryk).

Ressourceposter

IANA har standardiseret en ny TLSA-post (kode 52). Optagelsesformat:

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+ | Cert. Brug | vælger | Matchende type | / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ / / / /Certifikatforeningsdata/ / / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+

Beskrivelse af felter

• Certifikatbrug - typen af ​​det overførte certifikat
• Vælger - dimensionen af ​​de overførte data
• Matchende type - type overførte data
• Certifikatforeningsdata - certifikatdata

Eksempel på DNS-forespørgsel

Når der etableres en sikker forbindelse med example.org-serveren på TCP-port 443, udfører klienten en yderligere anmodning af formularen

I TLSA _443._tcp.example.org

DNS-svar

Fuldt PKI-certifikat:

_443._tcp.example.com. I TLSA ( 3 0 0 30820307308201efa003020102020...)

Links

• RFC 6394 , brugssager og krav til DNS-baseret godkendelse af navngivne enheder (DANE  )
• RFC 6698 , Den DNS-baserede autentificering af navngivne enheder (DANE) Transport Layer Security (TLS ) protokol: TLSA 
• DANE - DNS's nye rolle i sikkerhed  - Artikel i Open Systems Magazine, nr. 03, 2013

Internetsikkerhedsmekanismer _
Kryptering og trafikfiltrering _	Fysisk lag Fysisk isolation Linklag Sikkerhed på netværksgrænsefladelag OPP krypto gateway styret switch netværkslag IPsec Multicast NAT SPRINGE SPI Virtuel routing og pakkefilter transportlag ESP NBAR ObsTCP SRTP SSTP tcpcrypt Proxyserver TLS 1.3 sessionslag L2TP MPPE PPTP Gateway på sessionsniveau Executive niveau DTLS SSL STARTTLS TLS Anvendelseslag ALG DNSCrypt DNSCurve DoH DoT DNSSEC FTPS HSTS HTTPS MSE/PE/ QUIC SCP SFTP S-HTTP SILKE S/MIME SSH XMPP Webapplikations firewall
Godkendelse	DANSKER DIAMETER EAP HOTP HTTPsec ISAKMP Kerberos MAC MS-CHAP NTLM OCRA PEAP RADIUS Sikker token SecurID SASL SCRAM SRP TACACS TACACS+ TOTP udfordring-svar
Computerbeskyttelse	Application firewall Bastion vært DLP DMZ IDS IPC Antivirus program Netværkssikkerhed Proaktivt forsvar
IP-telefonisikkerhed	VoIP VPN ZRTP Sikkerhed på Skype Kryptofon
Trafikanonymisering	routing Anonyme netværk Løg routing Bland netværk routing af hvidløg
Trådløs sikkerhed	Sikkerhed i trådløse ad hoc-netværk Sikkerhed i WiMAX-netværk Wi-Fi sikkerhed