Hva er DANE?
DANE (DNS-based Authentication of Named Entities) er en standard som lar deg publisere TLS-sertifikatinformasjon i DNS, beskyttet av DNSSEC. Brukes mest for sikker e-postoverføring (SMTP).
På vanlig norsk
Vanligvis stoler nettleseren på et stort antall sertifiseringsmyndigheter (CA-er) - hvilken som helst av dem kan utstede et sertifikat for domenet ditt. DANE snur dette: domeneeieren legger en TLSA-peker i DNS som sier «mitt sertifikat er dette og bare dette». Hvis noen prøver å mate inn et annet sertifikat - selv om det er gyldig fra en CA - vil mottakeren avvise det.
Teknisk forklaring
DANE krever DNSSEC - uten signerte DNS-svar er TLSA-pekeren manipulerbar. TLSA-pekeren publiseres på _<port>._<protocol>.<domain> (f.eks. _25._tcp.eksempel.no for SMTP) og inneholder sertifikatets hash sammen med usage-, selector- og matching-felt. For SMTP brukes DANE primært via MTA-STS-alternativet - Postfix, Exim og store e-postoperatører som Comcast og hver av de norske ISP-ene støtter det. For HTTPS er DANE foreslått, men nettleserne har historisk ikke implementert det fordi DNSSEC-validering tar lang tid.
Et eksempel
Ved sending av e-post fra postfix til en mottaker med DANE-konfigurasjon, slår serveren opp _25._tcp.mottaker.no, validerer TLSA-pekeren mot DNSSEC-signaturer, og krever at sertifikatet matcher før den fortsetter med STARTTLS-oppgradering.
Hvorfor er DANE viktig?
DANE løser et virkelig sikkerhetshull i e-postoverføring: en angriper med kontroll over en mellomliggende ruter kan ellers fjerne STARTTLS-svaret og tvinge frem ukryptert overføring. Med DANE må mottakerens sertifikat matche eksakt - og DNSSEC sikrer at TLSA-pekeren ikke kan forfalskes. For organisasjoner som tar e-postsikkerhet på alvor (banker, det offentlige), er DANE-MTA et viktig tiltak.
Lær mer om beslektede ord
DNSSEC - DNS Security Extensions - er en utvidelse av DNS som signerer DNS-svar kryptografisk. Det betyr at en bruker kan verifisere at svaret faktisk kommer fra den rettmessige domeneeieren, og ikke fra en angriper. DNSSEC beskytter mot DNS-spoofing og cache-forgiftning.
TLS - Transport Layer Security - er den moderne kryptografiske protokollen som sikrer kommunikasjon på internett. Det er etterfølgeren til SSL og brukes for HTTPS, sikker e-post (SMTPS, IMAPS) og andre tjenester. TLS 1.3 er gjeldende anbefaling.
SMTP - Simple Mail Transfer Protocol - er protokollen som sender e-post mellom servere og fra klienter. Den bestemmer hvordan meldinger ruteres, men ikke hvordan de hentes ned (det gjør IMAP og POP3).
En MX-peker - Mail eXchange-record - forteller resten av internett hvilken server som mottar e-post for domenet ditt. Hver MX-peker har en prioritet (lavt tall først), og du kan ha flere for redundans. Uten MX-pekere fungerer ikke e-post på domenet.
Spørsmål om DANE
Trenger jeg DANE for et vanlig domene?
Sannsynligvis ikke. DANE for HTTPS støttes praktisk talt ikke i nettlesere. DANE for SMTP er nyttig hvis du driver din egen mailserver og kommuniserer med organisasjoner som krever det - ellers gir det liten praktisk nytte foreløpig.Hvordan sjekker jeg om et domene har DANE?
Slå opp _25._tcp.<domene>.<tld> i et DNS-verktøy som støtter TLSA-pekere, eller bruk Internet.nl sitt DANE-test som validerer hele kjeden. Krever at domenet også har DNSSEC aktivert - uten det er TLSA-pekeren ubrukelig.Hva er forskjellen på DANE og MTA-STS?
Begge sikrer SMTP-overføring, men på forskjellige måter. DANE bruker DNSSEC og publiserer sertifikatinformasjon i DNS. MTA-STS bruker DNS bare til oppdagelse, og henter den faktiske policyen via HTTPS - og er enklere å implementere uten DNSSEC. Mange sender med begge for redundans.