DANE
Qu'est-ce que DANE ?
DANEFamille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
DANE (DNS-Based Authentication of Named Entities), spécifié par le RFC 6698 et étendu au SMTP dans le RFC 7672, publie des enregistrements TLSA désignant un service (par ex. _25._tcp.mail.example.com) et le certificat ou la clé publique légitimes. L'intégrité DNSSEC empêche toute altération en transit. Pour SMTP, DANE force les MTA émetteurs à exiger TLS vers les MX dont les TLSA valident, déjouant downgrade et faux certificats. DANE s'applique aussi à HTTPS et à d'autres protocoles, mais reste surtout déployé dans la messagerie. Il complète MTA-STS en offrant une garantie plus forte ancrée dans DNSSEC ; beaucoup d'opérateurs déploient les deux. Pour être efficace, DANE exige des zones DNSSEC correctement maintenues et des TLSA mis à jour à chaque rotation de certificat.
● Exemples
- 01
Publier un enregistrement TLSA pour que les MTA partenaires refusent de livrer à mail.example.com sans le certificat attendu.
- 02
Épingler une clé publique via TLSA 3 1 1 afin de pouvoir renouveler les certificats sans changer de clé.
● Questions fréquentes
Qu'est-ce que DANE ?
Famille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DANE ?
Famille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
Comment fonctionne DANE ?
DANE (DNS-Based Authentication of Named Entities), spécifié par le RFC 6698 et étendu au SMTP dans le RFC 7672, publie des enregistrements TLSA désignant un service (par ex. _25._tcp.mail.example.com) et le certificat ou la clé publique légitimes. L'intégrité DNSSEC empêche toute altération en transit. Pour SMTP, DANE force les MTA émetteurs à exiger TLS vers les MX dont les TLSA valident, déjouant downgrade et faux certificats. DANE s'applique aussi à HTTPS et à d'autres protocoles, mais reste surtout déployé dans la messagerie. Il complète MTA-STS en offrant une garantie plus forte ancrée dans DNSSEC ; beaucoup d'opérateurs déploient les deux. Pour être efficace, DANE exige des zones DNSSEC correctement maintenues et des TLSA mis à jour à chaque rotation de certificat.
Comment se défendre contre DANE ?
Les défenses contre DANE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DANE ?
Noms alternatifs courants : Authentification DNS d'entités nommées.
● Termes liés
- network-security№ 707
MTA-STS
Mécanisme de sécurité e-mail (RFC 8461) permettant à un domaine d'exiger TLS sur le SMTP entrant et d'épingler une liste de MX de confiance, déjouant les attaques de downgrade et de strip STARTTLS.
- network-security№ 1098
STARTTLS
Extension SMTP, IMAP, POP3 et XMPP définie par le RFC 3207, qui passe une connexion en clair à TLS après la salutation du protocole, permettant un chiffrement opportuniste entre serveurs et clients.
- network-security№ 764
TLS opportuniste
Posture de chiffrement où deux parties utilisent TLS si elles le supportent et reviennent au texte clair sinon, typique du SMTP entre serveurs avec STARTTLS sans authentification forte.
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
- network-security№ 345
DNSSEC
Ensemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.