Delicious Digg Facebook Favorites More Stumbleupon Twitter

Sécuriser les échanges SMTP grâce à DANE

-

Le protocole SMTP (Simple Mail Transfer Protocol) est massivement utilisé dans les échanges entre serveurs de messagerie (MTA ou Mail Transfer Agent). L’utilisation de TLS (Transport Layer Security) permet de sécuriser ces flux. Pour assurer une compatibilité optimale des communications, StartTLS ou TLS opportuniste est utilisé pour faciliter l’établissement de la connexion sécurisée.

StartTLS présente certaines limites qui permettent une interception, voire une modification de la transmission. L’émergence d’un protocole visant à améliorer la sécurité de ces connexions était donc nécessaire.

DANE permet d’indiquer à un serveur expéditeur l’empreinte (ou hash) du certificat X.509 utilisé par le serveur destinataire. Il pourra ainsi vérifier que ce certificat n’est pas contrefait avant l’établissement de la connexion sécurisée. En termes moins techniques, DANE est un protocole qui permet d’associer en toute sécurité un serveur à un certificat lors de l’établissement d’une connexion sécurisée par TLS.

DANE implique l’utilisation de DNSSEC afin de fiabiliser les données du DNS. Si votre domaine est déjà sécurisé par DNSSEC, la mise en place de DANE n’est pas compliquée : Il suffit d’intégrer l’empreinte du certificat de votre serveur. En théorie, DANE est utilisable avec toutes les communications qui utilisent TLS.

Pour résumer, l’exploitation de DANE implique la présence de :
Un client et serveur DNS supportant DNSSEC.

Un client et un serveur (SMTP, HTTP, etc) supportant DANE.

La présence de l’empreinte du certificat du serveur, sécurisée par DNSSEC, dans le DNS du nom d’hôte destinataire.

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.