Wat is DANE en DNSSEC?

DANE is een beveiligingsprotocol dat verder gaat dan het standaard HTTPS protocol in het beveiligen van de vertrouwensketen tussen server, Certificate Authority en gebruiker.

In het huidige HTTPS protocol wordt er van uitgegaan dat certificaten die uitgegeven worden door een vertrouwde CA ook automatisch als veilig worden beschouwd. Hierbij wordt het root certificaat van een CA gebruikt als een zogenaamd trust anchor. Dit betekent echter dat wanneer een vertrouwde CA gehackt wordt, er valse certificaten kunnen worden uitgegeven die door browsers niet als onveilig worden verklaard.

DNSSEC

DNSSEC is in het leven geroepen om de veiligheid van domeinen op een hoger niveau te trekken. In dit protocol wordt een apart certificaat aangemaakt voor de nameserver van een domein. Een samenvatting van dit publieke certificaat wordt vervolgens aan de desbetreffende registry afgegeven. Bij elke request vanuit een browser wordt dan niet alleen de nameserver gegevens, maar ook de handtekening die bij het certificaat hoort teruggegeven. Als deze handtekening niet overeenkomt met de gegevens zoals ze terugkomen van de nameserver, of helemaal ontbreekt in die response, is de DNS data dus ongeldig.

DANE

DANE is een protocol dat alleen werkt als DNSSEC actief is. Dane laat de browser kijken naar het TLSA record. In dit record staat vervolgens de public fingerprint van een certificaat waarvan de gebruiker zelf aangeeft dat het veilig is. Dit kan bijvoorbeeld een intermediate certificaat zijn van de CA die het certificaat heeft uitgegeven dat op de server staat, maar kan ook de fingerprint van het certificaat zelf zijn.

Het aanmaken van een TLSA record kan gemakkelijk online worden gedaan met een generator als de TLSA Generator op SSL-tools.net.