DNS-based Authentication of Named Entities
| インターネットセキュリティ プロトコル |
|---|
| キーマネジメント |
| アプリケーション層 |
| DNS |
| インターネット層 |
DNS-based Authentication of Named Entities(DANE、名前付きエンティティの DNS ベースの認証)は、一般的に Transport Layer Security(TLS)に使用されるX.509証明書を、DNS Security Extensions(DNSSEC)を使用して、DNS 名にバインドすることを可能にする通信プロトコルである[1]。
認証局(CA)を持たないTLSクライアント・サーバーのエンティティを認証するための方法として、RFC6698で提案された。
論理的根拠
[編集]現在、TLS/SSL 暗号化は認証局(CA)が発行した証明書に基づいている。過去数年間に、多くのCAプロバイダが深刻なセキュリティ侵害(security breaches)を受け、ドメインを所有者以外が有名なドメインの証明書を発行できるようになってしまう問題が起きた。いずれかのCAがセキュリティ侵害を受けただけで、任意のドメイン名の証明書を発行できてしまうため、多数のCAを信頼することはセキュリティ上の問題となりうる。DANEを使用すると、ドメイン名の管理者は、そのドメインのTLSクライアントまたはサーバーで使用されているキーをDNSに格納できる。DANEのセキュリティモデルを機能させるためには、DNSレコードをDNSSECで署名する必要がある。
さらにDANEでは、ドメインの所有者が、特定のリソースのために証明書の発行を許可するCAを指定することができるため、CAが任意のドメインの証明書を発行することができてしまう問題を解決することができる。
サポート
[編集]アプリケーション
[編集]- Google Chrome DANE をサポートしていない。Adam Langley によると、コードが書かれていたが[2]、現在の Chrome には存在しない[3]。しかし、アドオンを利用して使用可能である[4][5]。
- Mozilla Firefox アドオンを介してサポートしている[6]。
- Irssi[7]
サーバー
[編集]ライブラリ
[編集]標準規格
[編集]- RFC 6394 Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
- RFC 6698 The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
- RFC 7218 Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)
参照
[編集]- ^ “DANE: Taking TLS Authentication to the Next Level Using DNSSEC”. ISOC. 2015年8月10日閲覧。
- ^ Adam Langley (2012年10月20日). “DANE stapled certificates”. ImperialViolet. 2014年4月16日閲覧。
- ^ Adam Langley (2011年6月16日). “DNSSEC authenticated HTTPS in Chrome”. ImperialViolet. 2014年4月16日閲覧。
- ^ How To Add DNSSEC Support To Google Chrome
- ^ DNSSEC Validator - Chrome add-on
- ^ “DNSSEC/TLSA Validator”. 2015年8月10日閲覧。
- ^ “[irssi] Commit d826896f74925f2e77536d69a3d1a4b86b0cec61”. github.com. 2014年7月18日閲覧。
- ^ “Postfix TLS Support”. Postfix.org. 2014年4月16日閲覧。
- ^ posteo.de. "Posteo unterstützt DANE/TLSA". 2014年5月15日閲覧。
- ^ mailbox.org. "DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org". 2014年5月29日閲覧。
- ^ dotplex.de. "Secure Hosting mit DANE/TLSA". 2014年6月21日閲覧。
- ^ mail.de. "mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany"". 2014年6月22日閲覧。
- ^ tutanota.de. "DANE Everywhere?! Let's Make the Internet a Private Place Again". 2015年1月13日閲覧。
- ^ “Verifying a certificate using DANE (DNSSEC)”. Gnu.org. 2015年8月10日閲覧。
- ^ Bug #77327 for Net-DNS: DANE TLSA support, rt.cpan.org
- ^ Net_DNS2 v1.2.5 – DANE TLSA Support