logo CZ.NIC

Ověřování certifikačních autorit na bázi DNS

Pracovní skupina DANE vydala v srpnu 2012 nový internetový standard. Aktuální RFC (Request for Comments) s pořadovým číslem 6698 je věnováno nové technologii umožňující ověřování certifikačních autorit na bázi DNS.

Tato myšlenka je poměrně revoluční a může zásadním způsobem přispět k většímu využívání technologie DNSSEC u koncových uživatelů. Nedávno vydaný internetový standard je již třetím dokumentem tohoto druhu, na němž se podíleli členové Laboratoří CZ.NIC. Pracovní skupině DANE (DNS-based Authentication of Named Entities) předsedá Ondřej Surý z Laboratoří CZ.NIC společně se zástupcem Googlu.

Myšlenka ukládání otisků certifikátů do DNS koluje v IETF (Internet Engineering Task Force) poměrně dlouho, nicméně až podpis kořenové zóny technologií DNSSEC v červenci 2010 ji umožnil realizovat bezpečným způsobem.

První setkání (tzv. Bird of Feather) nad tímto projektem iniciované právě Ondřejem Surým a Warrenem Kumarim z Google se uskutečnilo již na konci července 2010 na tradičním zasedání organizace IETF v Maastrichtu, oficiální pracovní skupina DANE byla potom založena na podzim stejného roku.

První fáze projektu, na němž se podílí mezinárodní tým odborníků, se uzavřela letos v srpnu vydáním RFC 6698, které definuje nový DNS záznam TLSA a způsob práce s ním.

"Projektu DANE se na půdě IETF věnuji již více než dva roky. Smyslem našeho snažení je zásadním způsobem změnit způsob práce s certifikáty v internetových službách. Doposud se zájemci o bezpečnostní certifikát museli obracet na certifikační autority, zatímco nová technologie umožní vytvořit si vlastní certifikát a uložit ho do DNS zabezpečeného DNSSEC. Díky tomu dojde k úspoře finančních prostředků i času", doplnil Ondřej Surý, vedoucí Laboratoří CZ.NIC.

Na posledním zasedání ve Vancouveru se členové pracovní skupiny DANE dohodli na dalším rozvoji tohoto projektu. V plánu je přesněji definovat použití TLSA záznamů u internetových protokolů jako je SMTP, XMPP nebo SIP.

Mezi další úkoly bude patřit vytvoření funkční implementace například ve webových prohlížečích jako je Mozilla Firefox nebo Google Chrome.

Článek CZ.NIC ze dne 5. září 2012 - středa

Další články CZ.NIC

Všechna firemní zařízení Android pod kontrolou