Hlavní navigace

CZ.NIC: Certifikační autority bude možné ověřovat na bázi DNS

Vilém Sládek

Pracovní skupina DANE (DNS-based Authentication of Named Entities), které předsedá Ondřej Surý z Laboratoří CZ.NIC společně se Warrenem Kumarim z Googlu, vydala v srpnu nový internetový standard. RFC 6698 je věnováno nové technologii umožňující ověřování certifikačních autorit na bázi DNS. Tato myšlenka je poměrně revoluční a může zásadním způsobem přispět k většímu využívání technologie DNSSEC u koncových uživatelů.

Pracovní skupina DANE (DNS-based Authentication of Named Entities), které předsedá Ondřej Surý z Laboratoří CZ.NIC společně se Warrenem Kumarim z Googlu, vydala v srpnu nový internetový standard. RFC 6698 je věnováno nové technologii umožňující ověřování certifikačních autorit na bázi DNS. Tato myšlenka je poměrně revoluční a může zásadním způsobem přispět k většímu využívání technologie DNSSEC u koncových uživatelů.

Myšlenka ukládání otisků certifikátů do DNS koluje v IETF poměrně dlouho, nicméně až podpis kořenové zóny technologií DNSSEC v červenci 2010 ji umožnil realizovat bezpečným způsobem.

KL17-nominace

„Projektu DANE se na půdě IETF věnuji již více než dva roky. Smyslem našeho snažení je zásadním způsobem změnit způsob práce s certifikáty v internetových službách. Doposud se zájemci o bezpečnostní certifikát museli obracet na certifikační autority, zatímco nová technologie umožní vytvořit si vlastní certifikát a uložit ho do DNS zabezpečeného DNSSEC. Díky tomu dojde k úspoře finančních prostředků i času,“ říká Ondřej Surý.

Nyní je v plánu přesněji definovat použití TLSA záznamů u internetových protokolů jako je SMTP, XMPP nebo SIP. Mezi další úkoly bude patřit vytvoření funkční implementace například ve webových prohlížečích jako je Mozilla Firefox nebo Google Chrome.

Našli jste v článku chybu?