Le protocole DNS DANE (DNS-based Authentication of Named Entities)
En bref : Authentification des certificats TLS par le DNS
À quoi ça sert : Lors d'un échange SMTP entre deux serveurs de messagerie, une connexion TLS est établie pour chiffrer le transit. Cette connexion repose sur un certificat présenté par le serveur destinataire, émis par une Autorité de Certification (CA).
Le problème : il existe des centaines de CA reconnues, et n'importe laquelle peut émettre un certificat pour n'importe quel domaine. Un attaquant ou une CA compromise pourrait générer un certificat valide pour votre domaine et l'utiliser pour intercepter les connexions SMTP : c'est une attaque de type man-in-the-middle.
DANE répond à ce risque en permettant au propriétaire d'un domaine de publier directement dans sa zone DNS les empreintes des certificats TLS autorisés pour son serveur de messagerie, via des enregistrements TLSA. Le serveur émetteur vérifie que le certificat présenté correspond à ce qui est publié avant d'établir la connexion. La chaîne de confiance est ainsi ancrée dans le DNS du domaine lui-même, sans dépendance à une CA tierce.
Important
DANE repose entièrement sur DNSSEC.
Sans DNSSEC actif sur le domaine, les enregistrements TLSA ne sont pas considérés comme fiables et sont ignorés par les serveurs émetteurs. L'activation de DNSSEC est donc un prérequis absolu avant tout déploiement de DANE.
Attention
Lors du renouvellement d'un certificat TLS, les enregistrements TLSA doivent être mis à jour avant le basculement du certificat. Dans le cas contraire, les serveurs vérifiant DANE refuseront d'établir la connexion et les emails entrants seront rejetés.
Remarque
Si MTA-STS est déjà déployé sur votre domaine en mode enforce, une coordination est nécessaire lors de la mise en place de DANE, en particulier lors de la migration des enregistrements MX. Consultez notre guide Activer DANE avec Exchange Online pour le détail des étapes.
DANE est aujourd'hui supporté en émission par les principaux acteurs de la messagerie (Google, Microsoft). Son adoption reste cependant partielle : tous les serveurs de messagerie ne vérifient pas encore les enregistrements TLSA.
Sources : datatracker.ietf.org
- RFC 6698 DANE : protocole de base
- RFC 7671 Mises à jour et recommandations opérationnelles
- RFC 7672 DANE appliqué à SMTP
- RFC 7673 DANE avec enregistrements SRV
- RFC 4033, 4034, 4035 DNSSEC (prérequis)
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article