Avsnittet heter #76 – DANE, eller hur vi löser tillit i framtiden?
Det spelades in 2020-05-16 och lades ut 2020-05-17.
Deltagare: Erik Zalitis
Show notes skrivna av Erik Zalitis.
Så var man alltså ensam denna gång och avsnittet blev ju därför hälften av både mantalet och längden. Men ämnet ligger i luften och idag handlar det om DANE (DNS-based Authentication of Named Entities).
Som jag sa i avsnittet förmår inte längre CAs (certificate authorities) längre garantera att utgivaren av certifikatet verkligen gjort sitt jobb och kollat den som beställde certifikatet innan de utfärdade det. Ett problem DANE kan lösa genom att låta den som driver sin DNS själv gå i god för den.
DANE ser till att:
- Kryptering nu är obligatoriskt och inte ”om möjligt” som med t.ex. opportunistisk kryptering.
- Man kan lita på att tjänsten hör till domänen och att utgivaren är den som kontrollerar den.
Och genom att kräva DNSSEC, blir det svårt för en hackare att styra om domänen och ta över den. Är det dock möjligt? Om en hackare kan ta kontroll över en organisations DNS och sedan ändra i både DANE-posterna och pekaren till en webbserver de styr, är det då inte kört i alla fall? Kanske, men det är en ganska komplicerad sak att göra, vilket är själva grejen. Ju fler kontroller som måste bekämpas, desto mindre sannolikhet är att det lyckas.
Länkar
En jämförelse mellan diverse teknologier som finns idag för epost:
https://certified-senders.org/wp-content/uploads/2020/02/Email-Transport-Encryption-STARTTLS-vs.-DANE-vs.-MTA-STS_updated.pdf
Microsofts lägger till DNSSEC och DANE:
https://techworld.idg.se/2.2524/1.733018/exchange-online-dane-dnssec
Vad är DANE?
https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/
Steve Gibson skriver om problemet med CAs och har en, nu rätt föråldrad lösning:
https://www.grc.com/fingerprints.htm
En mer iögonfallande bloggpost anför att Dane och DNSSEC är opålitliga eftersom ”myndigheterna” kontrollerar DNSSEC. Vilket är en förklarlig om än paranoid argumentation givet att USAs myndigheter 2015 hade kontroll över t.ex. ICANN:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/
… Fast, hans blogginlägg skrevs ju som sagt 2015, innan Icann slutade vara under USAs kontroll, så det argumentet håller inte längre. Resten av dem är ganska tveksamma också, men för att visa några motargument, kan man i alla fall lära sig något genom att titta igenom sidan.