DANE
Qu'est-ce que DANE ?
DANEFamille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
DANE (DNS-Based Authentication of Named Entities), spécifié par le RFC 6698 et étendu au SMTP dans le RFC 7672, publie des enregistrements TLSA désignant un service (par ex. _25._tcp.mail.example.com) et le certificat ou la clé publique légitimes. L'intégrité DNSSEC empêche toute altération en transit. Pour SMTP, DANE force les MTA émetteurs à exiger TLS vers les MX dont les TLSA valident, déjouant downgrade et faux certificats. DANE s'applique aussi à HTTPS et à d'autres protocoles, mais reste surtout déployé dans la messagerie. Il complète MTA-STS en offrant une garantie plus forte ancrée dans DNSSEC ; beaucoup d'opérateurs déploient les deux. Pour être efficace, DANE exige des zones DNSSEC correctement maintenues et des TLSA mis à jour à chaque rotation de certificat.
● Exemples
- 01
Publier un enregistrement TLSA pour que les MTA partenaires refusent de livrer à mail.example.com sans le certificat attendu.
- 02
Épingler une clé publique via TLSA 3 1 1 afin de pouvoir renouveler les certificats sans changer de clé.
● Questions fréquentes
Qu'est-ce que DANE ?
Famille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DANE ?
Famille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
Comment se défendre contre DANE ?
Les défenses contre DANE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DANE ?
Noms alternatifs courants : Authentification DNS d'entités nommées.