Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Ondersteuning DANE in nieuwe versie OpenSSL

Gepubliceerd op 05-09-2016

Met de release van versie 1.1 ondersteunt OpenSSL nu ook DANE. Dat betekent dat applicaties die gebruik maken van deze TLS/SSL software library voor het opzetten van hun versleutelde verbindingen de server-certificaten ook (of additioneel) via de DNSSEC -infrastructuur kunnen valideren.

Programmeurs die van deze nieuwe feature gebruik willen maken zullen zelf de betreffende TLSA-records op moeten laten halen ( DNS ) en valideren (DNSSEC). Vervolgens kunnen deze records bij het opbouwen van een nieuwe versleutelde verbinding worden gebruikt om de server-certificaten te valideren. Afhankelijk van de specifieke toepassing kunnen op dezelfde manier dus ook ingebouwde/lokale trust anchors worden gevalideerd.

Veelgebruikt

Met de implementatie in de veelgebruikte OpenSSL library is de uitrol van DANE op veel bredere schaal een belangrijke stap dichterbij gekomen. DANE lijkt dan ook het eerste protocol te worden dat nieuwe veiligheidstoepassingen mogelijk maakt bovenop de DNSSEC-infrastructuur.

OpenSSL wordt als open source gepubliceerd onder zowel de Apache License als de BSD-licentie. Deze zogenaamde 'permissive' licentievoorwaarden staan ook het gebruik van open source software in commerciële, gesloten producten toe. Zo leerden we van de Heartbleed bug dat OpenSSL ook gebruikt wordt in systemen van Cisco en Juniper.

Terug naar het nieuwsoverzicht