Serveur dédié : mise en place du protocole DANE

Aujourd’hui, je vous montre comment mettre en place le protocole DANE sur votre serveur.

En pré-requis, votre domaine doit:

  1. être servi en HTTPS avec un certificat TLS valide,
  2. être signé par DNSSEC.

Cela prend environ 20 minutes à configurer, auxquelles s’ajouteront quelques heures afin que la résolution DNS avec les changements soit complète.

DANE : l’authentification TLS sans autorité de certification

Serveur dédié : mise en place du protocole DANE photo 2

DANE (DNS-based Authentication of Named Entities) est un protocole qui permet aux certificats X.509 – généralement utilisés pour TLS – d’être liés au DNS en s’appuyant sur DNSSEC.

L’IETF a défini DANE dans la RFC 6698 comme un moyen d’authentifier des clients TLS et des serveurs sans passer par une autorité de certification (AC).

Cette démarche s’enregistre dans une logique de sécurisation des accès clients-serveurs pour d’une part sécuriser les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS, et d’autre part mieux sécuriser les accès chiffrés des clients vers le serveurs.

Le chiffrement TLS est actuellement basé sur des certificats qui sont délivrés par des Autorités de Certification (AC ou Certificate Authority, CA en anglais).

Or, ces dernières années ont vu un certain nombre d’AC qui ont souffert de sérieux problèmes d’intrusions et de failles de sécurité, ce qui a permis la délivrance de certificats pour des sites très connus à des personnes qui ne détenaient pas ces domaines.

Faire confiance à un large nombre d’Autorités de Certification peut être un problème, étant donné que n’importe laquelle d’entre elles, si elle est compromise, pourrait délivrer un certificat pour n’importe quel nom de domaine.

Le protocole DANE permet à l’administrateur d’un nom de domaine de certifier les clés utilisées dans les clients ou serveurs TLS de ce domaine en les insérant au niveau du DNS.

DANE a donc besoin que les enregistrements DNS soient signés avec DNSSEC pour que son modèle de sécurité fonctionne.

De surcroit, DANE permet à l’adminstrateur du domaine de spécifier quelle autorité de certification est autorisée à délivrer des certificats pour une ressource particulière, ce qui résoud le problème des autorités de certification qui sont capables de délivrer des certificats pour n’importe quel nom de domaine.

Serveur dédié : mise en place du protocole DANE photo 3

Les enregistrements TLSA

DANE utilise des enregistrements TLSA, qui incluent l’empreinte du certificats X.509 qui protège un nom de domaine.

Nous devons tout d’abord générer cet enregistrement TLSA en nous basant sur le certificat installé sur notre serveur. Ensuite, cet enregistrement TLSA sera ajouté à notre zone DNS.

Anatomie d’un enregistrement TLSA

Un enregistrement TLSA se présente sous cette forme :

_PORT._PROTOCOL.URI. 3600 IN TLSA (3 0 1 HASH)

Décortiquons en détail ce que tout cela signifie :

  • _PORT._PROTOCOL. indique le port et le protocole sur lesquels tourne le service qui va être authentifié par DANE. Exemple: _443._tcp.
  • URI est l’adresse de notre service. Exemple: www.skyminds.net.
  • 3600 correspond à la mise en cache de notre enregistrement TLSA, soit 3600 secondes,

Les chiffres 3 0 1 correspondent à la valeur de différents champs:

  • le champs Usage :
    • 0 – PKIX-TA: Certificate Authority Constraint
    • 1 – PKIX-EE: Service Certificate Constraint
    • 2 – DANE-TA: Trust Anchor Assertion
    • 3 – DANE-EE: Domain Issued Certificate
  • le champs Selector:
    • 0 – Cert: Use full certificate
    • 1 – SPKI: Use subject public key
  • le champs Matching-Type:
    • 0 – Full: No Hash
    • 1 – SHA-256: SHA-256 hash
    • 2 – SHA-512: SHA-512 hash

Dans notre exemple, nous choisissons les chiffres:

  • 3 puisque nous utilisons le certificat délivré pour notre domaine (DANE-EE),
  • 0 parce que nous utilisons l’intégralité du certificat,
  • 1 car nous utilisons une empreinte encodée en SHA-256.

Au final, voici l’enregistrement TLSA pour notre serveur de fichier :

_443._tcp.www.skyminds.net. 3600 IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8

Générer un enregistrement TLSA avec TLSA Record Generator

La solution est d’utiliser l’outil TLSA Record Generator de Shumon Huque :

Serveur dédié : mise en place du protocole DANE photo

Générer un enregistrement TLSA comme un barbu

Si vous souhaitez une méthode un peu plus manuelle et technique, voici la marche à suivre.

1. L’enregistrement TLSA a besoin du hash de notre certificat SSL/TLS en SHA-256 donc on commence par récupérer ce hash :

openssl x509 -noout -fingerprint -sha256 < /etc/ssl/skyminds_net.crt | tr -d :

Résultat:

SHA256 Fingerprint=F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8

2. Une fois que vous avez cette empreinte chiffrée, vous allez pouvoir créer autant d’enregistrements que de services/ports ouverts sur le serveur.

Pour notre serveur de fichier sur le port 443 en TCP, l’enregistrement TLSA sera:

_443._tcp.www.skyminds.net. 3600 IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8

Pour notre serveur de mail Postfix sur le port 25 en TCP, l’enregistrement TLSA sera:

_25._tcp.mail.skyminds.net. IN TLSA 3 0 1 F454B8DBC72B2F2DEA4601D0FB6170E52E159BC30D88A43FB1A70E2D94955CA8

Vous aurez à faire de même pour chacun des services à authentifier par DANE.

3. On édite notre fichier de zone BIND:

nano /etc/bind/skyminds.net.hosts

et on y ajoute nos enregistrements TLSA.

4. Il reste ensuite à resigner la zone et le fichier de zone avec DNSSEC puis à redémarrer BIND.

Test de la configuration

La résolution DNS peut prendre jusqu’à 48 heures donc ne soyez pas surpris si votre domaine ou vos services ne semblent pas être validés par DANE.

L’extension DNSSEC/TLSA Validator

Serveur dédié : mise en place du protocole DANE photo 1

Je vous recommande d’installer l’extension DNSSEC/TLSA Validator – compatible avec Internet Explorer, Mozilla Firefox, Google Chrome/Chromium, Opera, et Safari.

Elle permet d’afficher une petite icône verte lorsque le domaine est correctement configuré pour HTTPS et validé par DNSSEC et DANE/TLSA.

Voici ce que cela donne chez SkyMinds pour DNSSEC:

Serveur dédié : mise en place du protocole DANE photo 5

et pour DANE :

Serveur dédié : mise en place du protocole DANE photo 6

Le site DANE SMTP Validator

Le site DANE SMTP Validator permet de tester la configuration DNSSEC, les enregistrements TLSA/DANE du domaine, ainsi que celle du serveur SMTP.

Voici un petit aperçu :

Serveur dédié : mise en place du protocole DANE photo 4

Lectures complémentaires

Conclusion

Voilà, vous venez d’activer DANE sur votre domaine. Un pas de plus dans la sécurisation de vos services.

Synopsis » Monter un serveur dédié de A à Z

  1. Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
  2. Serveur dédié : créer la base de données MySQL et importer WordPress
  3. Serveur dédié : créer et activer un Virtual Host sous Apache
  4. Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
  5. Serveur dédié : sécurisation des services avec iptables et fail2ban
  6. Serveur dédié : sécurisation de la couche TCP/IP
  7. Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
  8. Serveur dédié : sécuriser Apache 2 avec ModSecurity
  9. Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
  10. Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
  11. Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
  12. Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
  13. Serveur dédié : installer la dernière version d’APC par SVN
  14. Serveur dédié : analyse des performances du serveur
  15. Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
  16. Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
  17. Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
  18. Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
  19. Serveur dédié : impossible de se connecter à un port distant
  20. Rsync: rapatrier les fichiers du serveur à la maison
  21. Bash : réparer les tables MySQL en cas de crash
  22. Serveur dédié : création d’une seedbox avec Transmission
  23. Serveur dédié : des paquets LAMP à jour sous Debian
  24. Serveur dédié : mise à jour vers Debian 7 Wheezy
  25. Serveur dédié : activer X11 forwarding pour SSH
  26. Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
  27. Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
  28. Serveur dédié : mise en place de l’IPv6
  29. WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
  30. WordPress : héberger les images sur un sous-domaine
  31. Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
  32. Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
  33. Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
  34. Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
  35. Serveur dédié : configurer Webmin en TLS avec un certificat SSL
  36. Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
  37. Serveur dédié : installer et configurer Varnish 4
  38. Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
  39. Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
  40. Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
  41. Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
  42. Serveur dédié : installer la dernière version d’OpenSSL sous Debian
  43. Serveur dédié : activer l’IP canonique du serveur sous Apache
  44. Serveur dédié : mise à jour vers PHP 5.6
  45. MySQL : convertir les tables MyISAM au format InnoDB
  46. Serveur dédié : optimiser toutes les images GIF avec GIFsicle
  47. Serveur dédié : migration de MySQL vers MariaDB
  48. BASH : lister, bloquer et débloquer des adresses IP avec iptables
  49. Serveur dédié : produire une meilleure réserve d’entropie avec haveged
  50. Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
  51. Serveur dédié : mise en place du protocole DANE
  52. 8 règles d’or pour bien déployer DNSSEC et DANE
  53. Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
  54. Serveur dédié : optimiser la couche TCP
  55. Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
  56. Serveur dédié : mettre à jour Apache pour HTTP/2
  57. Serveur dédié : ajouter le domaine à la liste HSTS preload
  58. Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
  59. Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
  60. Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian

Rencontrez-vous des défis avec votre site WordPress ou WooCommerce? Laissez-moi les résoudre pour vous.

Discutons des solutions possibles »

Articles conseillés :

Opinions