Is DANE de redding van de PKI?

Toen Verisign in 2010 zijn certificaten-business van de hand deed aan Symantec, waren de geruchten niet van de lucht. “Wat weten zij dat wij niet weten?” was de veelgehoorde vraag. Een duidelijk antwoord kwam niet, al zien we wel dat de PKI-industrie, altijd al onderwerp van kritiek, de laatste tijd met een toenemend ‘imagoprobleem’ te kampen heeft. Met als meest recente dieptepunt natuurlijk de Diginotar-affaire.

Wat bezielde Verisign bij de verkoop? Welnu, het bedrijf heeft nog andere belangrijke poot onder haar bestaan, namelijk het beheer van enkele grote top-level domeinen (waaronder ‘.com’) en twee root-servers. Verisign is dus een belangrijke speler in het wereldwijde DNS eco-systeem. Ligt daar dan het antwoord op de vraag? Zou het kunnen dat Verisign voorzag dat de markt voor SSL-certificaten zijn beste tijd had gehad en besloten ze er op het hoogtepunt uit te stappen? En voorzagen ze misschien een grootse toekomst voor het DNS?

DNS based Authentication of Named Entities (DANE)
Ten tijde van de verkoop stond DNSSEC al een tijdje flink in de belangstelling. Er werd volop gespeculeerd over nieuwe mogelijkheden die met DNSSEC zouden ontstaan. Een van die nieuwe mogelijkheden staat bekend als DANE en sommigen geloven dat het succes daarvan het einde kan betekenen van duur betaalde SSL-certificaten.

Met DANE kunnen certificaten, zo is althans de gedachte, op een alternatieve manier worden geverifieerd, namelijk door een hash (een ‘pasfoto’) van het certificaat op te nemen als een ‘resource record’ in het DNS en dat te beveiligen met DNSSEC. Dat kan een officieel certificaat zijn, maar ook een ‘self-signed certificate’. In beide gevallen wordt het DNS gebruikt voor een (aanvullende) controle op de geldigheid van het certificaat.

DANE is met redelijk groot enthousiasme ontvangen binnen de internetgemeenschap, uiteraard met uitzondering van enkele vertegenwoordigers van de PKI-industrie. Maar is DANE ook daadwerkelijk het alternatief voor het steeds vaker falende PKI-systeem. Of is het op zijn minst een nuttige aanvulling daarop? Zou bijvoorbeeld het Diginotar-debacle met behulp van DANE te voorkomen zijn geweest?

Google Chrome
Als we kijken naar het vervalste Diginotar-certificaat voor ‘*.google.com’, dan zien we dat recente Google Chrome browsers dat niet accepteerden, ook al was het ‘formeel’ een geldig certificaat. De reden is dat Google in haar browsers een check heeft ingebouwd, die nagaat of het certificaat voor google.com wel van de juiste uitgever afkomstig is. Dat was natuurlijk niet het geval, en zodoende kon de falsificatie op 28 augustus jl. door een oplettende Iraanse gebruiker worden ontdekt.

Dat was dus een nuttige, slimme toevoeging van Google, waarbij ze handig gebruik maken van hun via het web vergaarde certificaatinformatie en DNS, waarin de ‘pasfoto’s’ van deze certificaten zijn opgenomen.

DANE werkt ruwweg volgens hetzelfde principe, met dien verstande dat bij DANE de domeinnaam houder verantwoordelijk is voor het opnemen van de ‘pasfoto’ van het certificaat in zijn eigen zonefile. Die komt daarmee dus op een belangrijke manier ‘in control’. En dat is logischer (en vertrouwder) dan wanneer ‘een derde partij’ zoals Google dat voor je doet.

Door een extra verificatieslag op basis van het DANE-protocol, wordt het kwaadwillenden weer een stukje lastiger gemaakt om beveiligde verbindingen te kapen. Dus ja, DANE zou daadwerkelijk een bijdrage kunnen leveren aan het herstellen van het zo fors aangetaste vertrouwen in het PKI-systeem.

IETF werkgroep
Aan het DANE-protocol wordt nog volop gesleuteld door de Internet Engineering Taskforce (IETF) en het protocol is dus nog niet af. Bovendien heeft DANE pas echt zin als het onderliggende DNS is beveiligd met DNSSEC en dat is nog lang niet overal het geval. Maar het DNSSEC-protocol  is al wel helemaal uitgekristalliseerd en met toekomstige, veelbelovende nieuwe DNS-toepassingen zoals DANE in het verschiet is dat misschien extra aanleiding om DNSSEC in onze systemen te gaan implementeren.


Marco Davids is Technisch Adviseur bij SIDN, de ‘registry’ van het Nederlandse ‘country code top level domain’ (TLD) en dus het bedrijf achter alle .nl domeinnamen.

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.