‘Vertrouwen in PKI is op historisch dieptepunt’

Na de Diginotar-hack is het vertrouwen in de Public Key infrastructure ( PKI) tot een historisch dieptepunt gedaald. Dat zegt technisch adviseur Marco Davids van SIDN. SIDN is de 'registry' van het Nederlandse 'country code top level domain' (TLD).

'Er moet heel wat gebeuren om dat vertrouwen weer te herstellen', zegt Davids. 'Alleen wat? Er is geen pasklare oplossing. DNS based Authentication of Named Entities (DANE) is het meest concrete antwoord op dit moment, zij het dat DANE ook nog in een vroege ontwikkelingsfase verkeert.'

DANE

'DANE is een uitbreiding op het DNS-protocol, net als DNSsec dat is', legt Davids uit. 'Van een PKI-certificaat van een website wordt een soort pasfoto gemaakt, een vingerafdruk zeg maar, ofwel een cryptografische hash. Die wordt in DNS opgenomen. Dat resource record wordt vervolgens beveiligd met een DNSsec-handtekening.'

'Wanneer een browser bijvoorbeeld op https://www.sidn.nl komt, ontvangt hij het certificaat, dat hij kan valideren op de klassieke manier. Maar daarnaast kan de browser ook de cryptografische hash berekenen en via een DNS-query het bijbehorende TLSA record opvragen en vervolgens beide gegevens met elkaar vergelijken.'

'Klopt de vergelijking, dan heeft de browser een extra aanwijzing dat het certificaat in orde is. Op de klassieke manier kan alleen worden vastgesteld of het certificaat geldig is, maar niet of het ook het echte certificaat is (of de uitgever klopt bijvoorbeeld). Met DANE kan dat dus wel.'

Einde SSL-certificaten business

DANE voegt, in combinatie met DNSsec een extra beveiligingslaag toe, aldus Davids. 'En dus wordt het met DANE de kwaadwillenden weer ietsje moeilijker gemaakt. Meer niet vrees ik. Het is dus niet zaligmakend.',

Het protocol heeft wel een 'aardige bijkomstigheid', aldus Davids. 'Met DANE kun je ook self signed-certificaten verifiëren. Dat is de reden dat sommigen denken dat DANE het einde is van de duur betaalde SSL-certificaten business.'