DNS-based Authentication of Named Entities

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

名前付きエンティティの DNS ベースの認証(DANE:DNS-based Authentication of Named Entities)では、DNS Security Extensions (DNSSEC)を使用して、DNS 名にバインドすることが一般的に Transport Layer Security(TLS)に使用される X.509 証明書を可能にするプロトコルである[1]

これは、認証局(CA)無し TLS クライアントとサーバーのエンティティを認証するための方法として、RFC6698 で提案されている。

論理的根拠[編集]

TLS/SSL 暗号化は現在、認証局(CA)が発行した証明書に基づいている。数年以内に、多くの CA プロバイダは深刻なセキュリティ侵害(security breaches英語版)を受け、ドメインを所有していない人にはよく知られているドメインの証明書の発行を可能にした。いずれかの CA は、任意のドメイン名の証明書を発行する可能性が破らため、CA の多数を信頼することは問題である可能性がある。DANE は DNS に格納することで、そのドメインの TLS クライアントまたはサーバで使用されるキーを証明するために、ドメイン名の管理者を有効にする。DANE は、DNS レコードが DNSSEC で署名する必要がある。

さらに DANE は、ドメインの所有者が特定のリソースのために証明書を発行する許可されている CA を指定することができ、任意のドメインの証明書を発行することができる任意の CA の問題を解決する。

サポート[編集]

アプリケーション[編集]

  • Google Chrome DANE をサポートしていない。Adam Langley によると、コードが書かれていたが[2]、現在の Chrome には存在しない[3]。しかし、アドオンを利用して使用可能である[4][5]
  • Mozilla Firefox アドオンを介してサポートしている[6]
  • Irssi[7]

サーバー[編集]

ライブラリ[編集]

標準規格[編集]

  • RFC 6394 Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
  • RFC 6698 The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
  • RFC 7218 Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)

参照[編集]

[ヘルプ]
  1. ^ DANE: Taking TLS Authentication to the Next Level Using DNSSEC”. ISOC. 2015年8月10日閲覧。
  2. ^ Adam Langley (2012年10月20日). “DANE stapled certificates”. ImperialViolet. 2014年4月16日閲覧。
  3. ^ Adam Langley (2011年6月16日). “DNSSEC authenticated HTTPS in Chrome”. ImperialViolet. 2014年4月16日閲覧。
  4. ^ How To Add DNSSEC Support To Google Chrome
  5. ^ DNSSEC Validator - Chrome add-on
  6. ^ DNSSEC/TLSA Validator”. 2015年8月10日閲覧。
  7. ^ [irssi] Commit d826896f74925f2e77536d69a3d1a4b86b0cec61”. github.com. 2014年7月18日閲覧。
  8. ^ Postfix TLS Support”. Postfix.org. 2014年4月16日閲覧。
  9. ^ posteo.de: Posteo unterstützt DANE/TLSA. Abgerufen am 2014-05-15.
  10. ^ mailbox.org: DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org. Abgerufen am 2014-05-29.
  11. ^ dotplex.de: Secure Hosting mit DANE/TLSA. Abgerufen am 2014-06-21.
  12. ^ mail.de: mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany". Abgerufen am 2014-06-22.
  13. ^ tutanota.de: DANE Everywhere?! Let’s Make the Internet a Private Place Again.. Abgerufen am 2015-01-13.
  14. ^ Verifying a certificate using DANE (DNSSEC)”. Gnu.org. 2015年8月10日閲覧。
  15. ^ Bug #77327 for Net-DNS: DANE TLSA support, rt.cpan.org, https://rt.cpan.org/Public/Bug/Display.html?id=77327 
  16. ^ Net_DNS2 v1.2.5 – DANE TLSA Support, http://netdns2.com/2012/12/net_dns2-version-1-2-5-released/ 

関連項目[編集]

外部リンク[編集]