DANE

DANE (DNS-Based Authentication of Named Entities) est une technique d’authentification des certificats numériques, utilisant le DNS avec DNSSEC.

Contexte

Le 15 mars 2011, Comodo un fournisseur leader sur le marché de certificats X.509 a découvert que l'un de ses affiliées fut compromis par un attaquant ayant créé un compte d'utilisateur chez lui. En utilisant ce compte, l'attaquant a créé un "Certificate Signing Request (CSR)" pour plusieurs des site Web les plus importants comme login.live.com, mail.google.com, login.yahoo.com etc.

Alors que, beaucoup pensaient que l'attaque Comodo était un cas isolé dans la vie de l’industrie de l'Autorité de Certification (AC), quatre mois plus tard, une autre AC DigiNotar subit une attaque. L'attaquant qui avait agi en mars contre Comodo a revendiqué l'attaque sur DigiNotar. Même si rien ne prouve que les deux attaques viennent de la même personne, dans les deux cas, le malveillant a réussi à trouver un chemin dans l'infrastructure de l’AC et de à délivrer des certificats TLS valides pour les domaines de haut niveau hors de leur contrôle.

Ces incidents ont accéléré l'appel à réévaluer PKIX soit en renforçant l'AC sous-jacente au système TLS avec différents mécanismes ou en fournissant une alternative complète à PKIX. C’est dans ce contexte que l'Afnic a commencé à travailler sur DANE

Description des travaux

L'objectif principal du projet DANE était de :

  • Mettre en place un “Proof of Concept” qui montre l'utilisation du protocole DANE via un navigateur web et qui ouvre le champ à des améliorations des mises en oeuvre existantes ;

  • Publier une documentation de référence sous la forme de tutoriel qui pourrait aider à la compréhension du protocole DANE par un public plus large ;

  • Améliorer le savoir-faire de l'Afnic dans le domaine de la sécurité des infrastructures Internet.

 

Nous avons analysé les différentes propositions existantes pour renforcer l'architecture PKIX et conclu que DANE est la meilleure d'entre elles en fonction de considérations de mise en œuvre. Nous avons mis en place une plateforme pour mettre en oeuvre les composants de DANE du côté du serveur. Depuis que les navigateurs actuels ne supportent pas nativement DANE nous avons dû apporter des modifications mineures à Chrome et Firefox pour tester DANE côté client. Une fois la mise en place effectuée, nous avons testé le mécanisme de DANE de bout en bout dans Firefox et Chrome.

Publications

 

Read this page in English Haut de page