logo CZ.NIC

Ověřování certifikačních autorit na bázi DNS

Pracovní skupina DANE vydala v srpnu 2012 nový internetový standard. Aktuální RFC (Request for Comments) s pořadovým číslem 6698 je věnováno nové technologii umožňující ověřování certifikačních autorit na bázi DNS.

Tato myšlenka je poměrně revoluční a může zásadním způsobem přispět k většímu využívání technologie DNSSEC u koncových uživatelů. Nedávno vydaný internetový standard je již třetím dokumentem tohoto druhu, na němž se podíleli členové Laboratoří CZ.NIC. Pracovní skupině DANE (DNS-based Authentication of Named Entities) předsedá Ondřej Surý z Laboratoří CZ.NIC společně se zástupcem Googlu.

Myšlenka ukládání otisků certifikátů do DNS koluje v IETF (Internet Engineering Task Force) poměrně dlouho, nicméně až podpis kořenové zóny technologií DNSSEC v červenci 2010 ji umožnil realizovat bezpečným způsobem.

První setkání (tzv. Bird of Feather) nad tímto projektem iniciované právě Ondřejem Surým a Warrenem Kumarim z Google se uskutečnilo již na konci července 2010 na tradičním zasedání organizace IETF v Maastrichtu, oficiální pracovní skupina DANE byla potom založena na podzim stejného roku.

První fáze projektu, na němž se podílí mezinárodní tým odborníků, se uzavřela letos v srpnu vydáním RFC 6698, které definuje nový DNS záznam TLSA a způsob práce s ním.

"Projektu DANE se na půdě IETF věnuji již více než dva roky. Smyslem našeho snažení je zásadním způsobem změnit způsob práce s certifikáty v internetových službách. Doposud se zájemci o bezpečnostní certifikát museli obracet na certifikační autority, zatímco nová technologie umožní vytvořit si vlastní certifikát a uložit ho do DNS zabezpečeného DNSSEC. Díky tomu dojde k úspoře finančních prostředků i času", doplnil Ondřej Surý, vedoucí Laboratoří CZ.NIC.

Na posledním zasedání ve Vancouveru se členové pracovní skupiny DANE dohodli na dalším rozvoji tohoto projektu. V plánu je přesněji definovat použití TLSA záznamů u internetových protokolů jako je SMTP, XMPP nebo SIP.

Mezi další úkoly bude patřit vytvoření funkční implementace například ve webových prohlížečích jako je Mozilla Firefox nebo Google Chrome.

Další články k tématům - certifikace - DANE - DNS - DNSSEC - Google - Chrome - IETF - Mozilla - RFC - SIP - SMTP - TLSA - Ondřej Surý

Článek CZ.NIC ze dne 5. září 2012 - středa

Další články od CZ.NIC

Acronis True Image 2019