DNS-based Authentication of Named Entities

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

DNS-based Authentication of Named EntitiesDANE、名前付きエンティティの DNS ベースの認証)は、一般的に Transport Layer Security(TLS)に使用されるX.509証明書を、DNS Security Extensions(DNSSEC)を使用して、DNS 名にバインドすることを可能にする通信プロトコルである[1]

認証局(CA)を持たないTLSクライアント・サーバーのエンティティ認証するための方法として、RFC6698で提案された。

論理的根拠[編集]

現在、TLS/SSL 暗号化は認証局(CA)が発行した証明書に基づいている。過去数年間に、多くのCAプロバイダが深刻なセキュリティ侵害(security breaches英語版)を受け、ドメインを所有者以外が有名なドメインの証明書を発行できるようになってしまう問題が起きた。いずれかのCAがセキュリティ侵害を受けただけで、任意のドメイン名の証明書を発行できてしまうため、多数のCAを信頼することはセキュリティ上の問題となりうる。DANEを使用すると、ドメイン名の管理者は、そのドメインのTLSクライアントまたはサーバーで使用されているキーをDNSに格納できる。DANEのセキュリティモデルを機能させるためには、DNSレコードをDNSSECで署名する必要がある。

さらにDANEでは、ドメインの所有者が、特定のリソースのために証明書の発行を許可するCAを指定することができるため、CAが任意のドメインの証明書を発行することができてしまう問題を解決することができる。

サポート[編集]

アプリケーション[編集]

  • Google Chrome DANE をサポートしていない。Adam Langley によると、コードが書かれていたが[2]、現在の Chrome には存在しない[3]。しかし、アドオンを利用して使用可能である[4][5]
  • Mozilla Firefox アドオンを介してサポートしている[6]
  • Irssi[7]

サーバー[編集]

ライブラリ[編集]

標準規格[編集]

  • RFC 6394 Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
  • RFC 6698 The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
  • RFC 7218 Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)

参照[編集]

[脚注の使い方]
  1. ^ DANE: Taking TLS Authentication to the Next Level Using DNSSEC”. ISOC. 2015年8月10日閲覧。
  2. ^ Adam Langley (2012年10月20日). “DANE stapled certificates”. ImperialViolet. 2014年4月16日閲覧。
  3. ^ Adam Langley (2011年6月16日). “DNSSEC authenticated HTTPS in Chrome”. ImperialViolet. 2014年4月16日閲覧。
  4. ^ How To Add DNSSEC Support To Google Chrome
  5. ^ DNSSEC Validator - Chrome add-on
  6. ^ DNSSEC/TLSA Validator”. 2015年8月10日閲覧。
  7. ^ [irssi] Commit d826896f74925f2e77536d69a3d1a4b86b0cec61”. github.com. 2014年7月18日閲覧。
  8. ^ Postfix TLS Support”. Postfix.org. 2014年4月16日閲覧。
  9. ^ posteo.de. "Posteo unterstützt DANE/TLSA". 2014年5月15日閲覧
  10. ^ mailbox.org. "DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org". 2014年5月29日閲覧
  11. ^ dotplex.de. "Secure Hosting mit DANE/TLSA". 2014年6月21日閲覧
  12. ^ mail.de. "mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany"". 2014年6月22日閲覧
  13. ^ tutanota.de. "DANE Everywhere?! Let's Make the Internet a Private Place Again". 2015年1月13日閲覧
  14. ^ Verifying a certificate using DANE (DNSSEC)”. Gnu.org. 2015年8月10日閲覧。
  15. ^ Bug #77327 for Net-DNS: DANE TLSA support, rt.cpan.org, https://rt.cpan.org/Public/Bug/Display.html?id=77327 
  16. ^ Net_DNS2 v1.2.5 – DANE TLSA Support, http://netdns2.com/2012/12/net_dns2-version-1-2-5-released/ 

関連項目[編集]

外部リンク[編集]