Tips en trucs voor DANE TLSA


Eind 2016 hebben we al eens geblogd over het DNS-based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol, kortweg TLSA. In dit artikel geven we een paar tips voor de implementatie ervan.

Probleem
TLSA is een protocol voor het veilig publiceren van publieke sleutels en certificaten dat voortbouwt op DNSSEC. DNSSEC voegt cryptografische verificatie toe aan het DNS en maakt het daarmee een betrouwbare bron voor certificaateigenschappen. Met DNSSEC is het Domain Name System veilig gemaakt en worden valse antwoorden op vragen aan het DNS voorkomen. Certificaten worden onder andere gebruikt voor websites die HTTPS (TLS) ingeschakeld hebben. Die certificaten worden verstrekt door certificaatautoriteiten die met veel of weinig moeite controleren of jij wel daadwerkelijk de eigenaar/beheerder bent van de domeinnaam waar je een certificaat voor aanvraagt. Er zijn echter meer dan 100 certificaatautoriteiten die door browsers worden vertrouwd. Een probleem bij een van die autoriteiten kan tot gevolg hebben dat er valse certificaten worden uitgegeven voor grote en kleine sites. Onder andere Comodo en Diginotar hebben in het verleden valse certificaten uitgebracht. TLSA voorkomt niet de uitgifte van valse certificaten maar beperkt wel het gebruik ervan.

Betrouwbare bron
Het gebruik van het DNS als betrouwbare bron voor bepaalde informatie met betrekking tot een domein, kennen we al langer. Denk bijvoorbeeld aan de publicatie van SPF en DKIM records in het DNS. TLSA zorgt ervoor dat het DNS, maar alleen de veilige variant ervan DNSSEC, een betrouwbare bron wordt voor de vraag of een certificaat op een website wel of niet vals is.

TLSA
Een TLSA-record bestaat uit 5 vaste onderdelen. Het eerste onderdeel specificeert het poortnummer, het transportprotocol en de host waarvan het certificaat gecontroleerd moet worden. Dat gaat in het formaat _POORTNUMMER._TRANSPORTPROTOCOL.HOST, bijvoorbeeld _443._tcp.www.bit.nl.

In een TLSA-record kan je op verschillende manieren vastleggen wie de certificaatautoriteit voor een certificaat dient te zijn en/of welk certificaat er exact gebruikt wordt. Zie de RFC voor een uitstekende uitleg van de mogelijkheden voor het tweede onderdeel van het TLSA-record: het veld voor certificaatgebruik.

Het derde onderdeel, de selector, specificeert welk deel van het certificaat gecontroleerd moet worden. Het matching type is onderdeel vier en specificeert hoe er gecontroleerd wordt. Het laatste onderdeel is ofwel de ruwe data of een hash van die data.

Een volledig record zou er bijvoorbeeld zo uit kunnen zien:
_443._tcp.www.bit.nl IN TLSA 3 0 1 368BB5751B0382C8AAD4C58125997C21FE926D2349384DBBB063823D 34CD5945

Welke keuzes je maakt voor de verschillende onderdelen, is afhankelijk van je certificaatgebruik. Als je Let’s Encrypt certificaten gebruikt die een korte geldigheidsduur hebben, zal je de certificaatautoriteit willen vastleggen en niet het exacte certificaat. Als je daarentegen geautomatiseerde toegang hebt tot je DNS, zou je ook voor kortlopende certificaten het exacte certificaat kunnen vastleggen.

Hash
Er is software beschikbaar voor het creëren van een TLSA-record. OpenSSL kan de hash voor je uitrekenen, maar makkelijker is de door Stichting NLNET beschikbaar gestelde tool: ldns-dane. Vooral handig bij geautomatiseerde processen en onderdeel van het Linux package ldnsutils. Maar er zijn meer tools beschikbaar. Een andere mogelijkheid is de door Shumon Huque beschikbaar gestelde online tool.

Monitoring
Op een door SIDN Labs opgezette website kan je controleren of je voor je website een correct TLSA-record hebt gezet. Voor continue monitoring zijn er Nagios/Icinga plugins beschikbaar die controleren of je TLSA-record nog matcht met je certificaat. Voor klanten van BIT die een monitoringdienst afnemen en TLSA-records geconfigureerd hebben staan, kan BIT het TLSA-record opnemen in de te monitoren services. Overigens gebruiken wij daar de ldns-dane functionaliteit voor in een zelf geschreven plugin.

Ondersteuning
De ondersteuning van browsers op het gebied van TLSA blijft nog enigszins achter. Middels add-ons, bijvoorbeeld die van cz.nic, kan deze functionaliteit echter wel toegevoegd worden. De mailservers Postfix en Exim hebben TLSA-ondersteuning (experimenteel) ingebouwd. Omdat DANE afhankelijk is van DNSSEC, zien we dat het gebruik van TLSA-records met name in Nederland, waar relatief heel veel DNSSEC enabled domeinen zijn, aanwezig is. Maar het gebruik is desalniettemin nog zeer beperkt. In november 2016 hebben we TLSA geconfigureerd voor onder andere onze MX-servers, hetgeen direct resulteerde in een top-10 plaats voor ‘MX host providers by domain count‘.

Mocht je behoefte hebben aan ondersteuning bij het implementeren van TLSA voor jouw diensten, neem dan contact met ons op. We delen graag onze ervaringen als dat het internet ten goede komt.

Advertentie: De inhoud van dit blok bevat een mededeling van onze partner

Vacatures van Byte


Geschreven door Wido Potters (BIT)

Dit ingezonden artikel is geschreven door Wido Potters van BIT.

Lees ook de onderstaande artikelen van BIT

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

Nog geen reacties

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...

Naar de cloud of naar de haaien?
http://www.coins4games.us/: När jag för en gångs skull sitter uppe och läser precis när ämnet kommer... så ...