Aujourd’hui, je vous montre comment mettre en place le protocole DANE sur votre serveur.
En pré-requis, votre domaine doit:
Cela prend environ 20 minutes à configurer, auxquelles s’ajouteront quelques heures afin que la résolution DNS avec les changements soit complète.
DANE : l’authentification TLS sans autorité de certification
DANE (DNS-based Authentication of Named Entities) est un protocole qui permet aux certificats X.509 – généralement utilisés pour TLS – d’être liés au DNS en s’appuyant sur DNSSEC.
L’IETF a défini DANE dans la RFC 6698 comme un moyen d’authentifier des clients TLS et des serveurs sans passer par une autorité de certification (AC).
Cette démarche s’enregistre dans une logique de sécurisation des accès clients-serveurs pour d’une part sécuriser les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS, et d’autre part mieux sécuriser les accès chiffrés des clients vers le serveurs.
Le chiffrement TLS est actuellement basé sur des certificats qui sont délivrés par des Autorités de Certification (AC ou Certificate Authority, CA en anglais).
Or, ces dernières années ont vu un certain nombre d’AC qui ont souffert de sérieux problèmes d’intrusions et de failles de sécurité, ce qui a permis la délivrance de certificats pour des sites très connus à des personnes qui ne détenaient pas ces domaines.
Faire confiance à un large nombre d’Autorités de Certification peut être un problème, étant donné que n’importe laquelle d’entre elles, si elle est compromise, pourrait délivrer un certificat pour n’importe quel nom de domaine.
Vous voulez sécuriser votre site avant qu'il soit trop tard ?
Plugins obsolètes, xmlrpc ouvert, uploads non protégés — la plupart des intrusions WordPress exploitent des failles connues et évitables. Un durcissement sérieux prend une demi-journée.
Faites auditer votre sécurité →Le protocole DANE permet à l’administrateur d’un nom de domaine de certifier les clés utilisées dans les clients ou serveurs TLS de ce domaine en les insérant au niveau du DNS.
DANE a donc besoin que les enregistrements DNS soient signés avec DNSSEC pour que son modèle de sécurité fonctionne.
De surcroit, DANE permet à l’adminstrateur du domaine de spécifier quelle autorité de certification est autorisée à délivrer des certificats pour une ressource particulière, ce qui résoud le problème des autorités de certification qui sont capables de délivrer des certificats pour n’importe quel nom de domaine.
Les enregistrements TLSA
DANE utilise des enregistrements TLSA, qui incluent l’empreinte du certificats X.509 qui protège un nom de domaine.
Nous devons tout d’abord générer cet enregistrement TLSA en nous basant sur le certificat installé sur notre serveur. Ensuite, cet enregistrement TLSA sera ajouté à notre zone DNS.
Anatomie d’un enregistrement TLSA
Un enregistrement TLSA se présente sous cette forme :
_PORT._PROTOCOL.URI. 3600 IN TLSA (3 0 1 HASH)Langage du code : CSS (css)Décortiquons en détail ce que tout cela signifie :
- _PORT._PROTOCOL. indique le port et le protocole sur lesquels tourne le service qui va être authentifié par DANE. Exemple:
_443._tcp. - URI est l’adresse de notre service. Exemple:
www.skyminds.net. - 3600 correspond à la mise en cache de notre enregistrement TLSA, soit 3600 secondes,
Les chiffres 3 0 1 correspondent à la valeur de différents champs:
- le champs Usage :
- 0 – PKIX-TA: Certificate Authority Constraint
- 1 – PKIX-EE: Service Certificate Constraint
- 2 – DANE-TA: Trust Anchor Assertion
- 3 – DANE-EE: Domain Issued Certificate
- le champs Selector:
- 0 – Cert: Use full certificate
- 1 – SPKI: Use subject public key
- le champs Matching-Type:
- 0 – Full: No Hash
- 1 – SHA-256: SHA-256 hash
- 2 – SHA-512: SHA-512 hash
Dans notre exemple, nous choisissons les chiffres:
- 3 puisque nous utilisons le certificat délivré pour notre domaine (DANE-EE),
- 0 parce que nous utilisons l’intégralité du certificat,
- 1 car nous utilisons une empreinte encodée en SHA-256.
Au final, voici l’enregistrement TLSA pour notre serveur de fichier :
_443._tcp.www.skyminds.net. 3600 IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8Langage du code : CSS (css)Générer un enregistrement TLSA avec TLSA Record Generator
La solution est d’utiliser l’outil TLSA Record Generator de Shumon Huque :
Générer un enregistrement TLSA comme un barbu
Si vous souhaitez une méthode un peu plus manuelle et technique, voici la marche à suivre.
1. L’enregistrement TLSA a besoin du hash de notre certificat SSL/TLS en SHA-256 donc on commence par récupérer ce hash :
openssl x509 -noout -fingerprint -sha256 < /etc/ssl/skyminds_net.crt | tr -d :Langage du code : JavaScript (javascript)Résultat:
SHA256 Fingerprint=F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA82. Une fois que vous avez cette empreinte chiffrée, vous allez pouvoir créer autant d’enregistrements que de services/ports ouverts sur le serveur.
Pour notre serveur de fichier sur le port 443 en TCP, l’enregistrement TLSA sera:
_443._tcp.www.skyminds.net. 3600 IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8Langage du code : CSS (css)Pour notre serveur de mail Postfix sur le port 25 en TCP, l’enregistrement TLSA sera:
_25._tcp.mail.skyminds.net. IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8Langage du code : CSS (css)Vous aurez à faire de même pour chacun des services à authentifier par DANE.
3. On édite notre fichier de zone BIND:
nano /etc/bind/skyminds.net.hostset on y ajoute nos enregistrements TLSA.
4. Il reste ensuite à resigner la zone et le fichier de zone avec DNSSEC puis à redémarrer BIND.
Test de la configuration
La résolution DNS peut prendre jusqu’à 48 heures donc ne soyez pas surpris si votre domaine ou vos services ne semblent pas être validés par DANE.
L’extension DNSSEC/TLSA Validator
Je vous recommande d’installer l’extension DNSSEC/TLSA Validator – compatible avec Internet Explorer, Mozilla Firefox, Google Chrome/Chromium, Opera, et Safari.
Elle permet d’afficher une petite icône verte lorsque le domaine est correctement configuré pour HTTPS et validé par DNSSEC et DANE/TLSA.
Voici ce que cela donne chez SkyMinds pour DNSSEC:
et pour DANE :
Le site DANE SMTP Validator
Le site DANE SMTP Validator permet de tester la configuration DNSSEC, les enregistrements TLSA/DANE du domaine, ainsi que celle du serveur SMTP.
Voici un petit aperçu :
Lectures complémentaires
- Protecting your website with DNS-Based Authentication of Named Entities (DANE)
- Updates to and Operational Guidance for the DANE Protocol
- SMTP security via opportunistic DANE TLS
Conclusion
Voilà, vous venez d’activer DANE sur votre domaine. Un pas de plus dans la sécurisation de vos services.
Vos sauvegardes sont-elles vraiment fiables ?
Une sauvegarde que vous n'avez jamais testée n'est pas une sauvegarde — c'est une illusion de sécurité. Je mets en place des backups automatisés, hors-site, vérifiés, avec procédure de restauration documentée.
Mettons en place une vraie stratégie de backup →
