DANE

提供: ArchWiki
ナビゲーションに移動 検索に移動

DANE (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。

リソースレコード

TLSA リソースレコードは独自の DNS レコードです。安全を保証するサービスのポート番号とプロトコルからなります。TCP のポート 25 を使用する場合、レコードは _25._tcp.example.com IN TLSA 3 0 1 $DATA のようになります。TLSA パラメータ 3 0 1 はデータについて情報を定義しています。最初の数字は Certificate Usage Field で、2番目は Selector Field、3番目には Matching Type Field という名前が付いています。

Certificate Usage Field
名前 説明
0 PKIX トラストアンカー ハッシュには x509 ツリーのパブリック CA が含まれ証明書に署名する。
1 PKIX エンドエンティティ ハッシュには証明書が含まれ x509 検証に渡される。
2 DANE トラストアンカー ハッシュにはプライベート CA (x509 ツリーからは参照不可) が含まれ証明書に署名する。
3 DANE エンドエンティティ ハッシュには他の検証に一致しない証明書が含まれる。
Selector Field
名前 説明
0 cert DATA は完全な証明書に基づく。
1 SPKI DATA は公開鍵にのみ基づく。
Matching Type Field
名前 説明
0 Full DATA は完全な証明書または SPKI である。
1 sha256 DATA は証明書や SPKI の sha256 ハッシュである。
2 sha512 DATA は証明書や SPKI の sha512 ハッシュである。

リソースレコードは ldns に含まれている ldns-danesshfpAUR に含まれている dane などのツールで簡単に生成できます。

DANE に対応しているソフトウェア

参照