quinta-feira, 19 de fevereiro de 2015

DANE, um novo conceito para segurança de domínios - O que é o DANE?

Introdução a DNS-Based Authentication of Named Entities

Neste artigo, apresentaremos uma nova tecnologia de segurança contra falsificações de sites.
Existe uma nova tecnologia que vem sendo solidamente discutida desde meados de 2011 e consolidando-se finalmente em 2012 em uma RFC, definindo um novo protocolo capaz de melhorar (e muito!) a segurança em certificados de nomes de websites. Garantindo de forma mais confiável que um site é o site que parece ser.

O nome desta tecnlogia é DANE.

DNS-Based Authentication of Named Entities
DANE
Phishing Scam - O "Contra-Ataque" Parte III

Em termos técnicos, DANE é...

DNS-Based Authentication of Named Entities ou, em tradução literal, Autenticação Baseada em DNS para Entidades Nomeadas.  O DANE foi definido na RFC 6698 em Agosto de 2012.

Trata-se é um protocolo que permite certificados X.509, normalmente utilizados por TLS (Transport Layer Security), sejam associados a nomes DNS utilizando a tecnologia DNSSEC (Domain Name System Security Extensions).

Para saber mais sobre DNSSEC >> Uma Introdução ao DNSSEC - Phishing Scam - O "Contra-Ataque" Parte II

Super HTTPS

Basicamente, a criptografia TLS/SSL é atualmente baseada em certificados gerados por CAs (Certificate Authorities). Esses CAs validam se o certificado apresentado pelo site com o certificado registrado em seu banco de dados. Assim, o CA pode averiguar se aquele domínio pertence ou não àquele site.

Porém, nos últimos anos, um considerável número de provedores CA sofreram com sérias falhas de segurança, permitindo aplicar certificados de domínios conhecidos para domínios que não os possuíam de fato.

Confiar em um grande número de CAs pode ser um problema pois qualquer CA vulnerável pode emitir um certificado para qualquer domínio.

O DANE permite que o administrador do nome de domínio certifique as chaves usadas em clientes ou servidores TLS, guardando-as em um DNS. O DANE precisa de DNS records (registros de DNS) para ser assinado com DNSSEC.

O DANE também permite que um administrador de domínio especifique qual CA é permitido para conferir o certificado de um recurso específico, fato que resolve o problema de qualquer CA ser capaz de verificar um certificado de um domínio.

DANE

DANE na prática...

Para verificar a identidade de um site através do DANE é necessário que um plug-in seja instalado em seu browser.

O DANE, embora ainda seja uma aplicação relativamente recente do DNSSEC, já começa ser adotado por sites e serviços alternativos como o Tutanota, servidor de E-mail seguro e gratuíto!

No Blog do Tutanota, encontramos um passo a passo de como instalar esse plugin: http://blog.tutanota.de/dane-how-to-install-browser-addons/2014/10/14/

Tutanota
Special Thanks to Tutanota for Helping to Rescue a Secure and Private Internet


Para saber mais...
- Phishing Scam - O "Contra-Ataque" Parte I
- Uma Introdução ao DNSSEC (Phishing Scam - O "Contra-Ataque" Parte II)
- Tutanota - Serviço Alemão de E-mail Seguro e Gratuíto