TLSA - Transport Layer Security Authentication : Authentification d'une déclaration d'usage d'un protocole sécurisé - Renommé DANE

cr  25.06.2021      r+  07.09.2022      r-  12.06.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Voir DANE

Le RR TLSA (Resource Record) d'un service se trouve sur un nom DNS qui spécifie que les contraintes de certificat doivent être appliquées pour les services sur un certain port TCP ou UDP. Au moins un des RR TLSA doit fournir une validation (chemin) pour le certificat proposé par le service à l'adresse spécifiée.

Tous les protocoles ne gèrent pas la correspondance des noms communs de la même manière. HTTP exige que le nom commun dans le certificat X.509 fourni par le service corresponde, quel que soit le TLSA affirmant sa validité. SMTP ne nécessite pas de correspondance de nom commun si la valeur d'utilisation du certificat est 3 (DANE-EE), mais nécessite sinon une correspondance de nom commun. Il est important de vérifier s’il existe des instructions spécifiques pour le protocole utilisé.

TLSA Transport Layer Security Authentication (recherches avec google)
TLSA Transport Layer Security Authentication (recherches avec qwant)

1. Wikipedia (EN) - DNS - based Authentication of Named Entities

2. Wikipédia (FR) - DNS - based Authentication of Named Entities

3. Microsoft (EN) - How SMTP DNS-based Authentication of Named Entities (DANE) works

4. Microsoft (FR) - Fonctionnement de l’authentification BASÉE sur DNS SMTP des entités nommées (DANE)

5. RFC (EN) - La RFC 7671 : The DNS-Based Authentication of Named Entities (DANE) Protocol - Updates and Operational Guidance

6. khanacademy.org (FR) - Le protocole TLS (Transport Layer Security)

7. dnssec-validator.cz (EN) - Abandon du développement du validateur DNSSEC/TLSA sous forme de plug-in

8. mozilla.org (EN) - vérification de l'usage d'un protocole sécurisé (https au lieu de http…) dans le navigateur Firefox