「DANE」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(ページの作成:「Category:Domain Name System Category:セキュリティ en:DANE DANE (DNS-based Authentication of...」)
 
 
(同じ利用者による、間の1版が非表示)
1行目: 1行目:
[[Category:Domain Name System]]
+
[[Category:ドメインネームシステム]]
[[Category:セキュリティ]]
 
 
[[en:DANE]]
 
[[en:DANE]]
 
[[wikipedia:ja:DNS-based Authentication of Named Entities|DANE]] (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。
 
[[wikipedia:ja:DNS-based Authentication of Named Entities|DANE]] (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。

2024年8月15日 (木) 13:37時点における最新版

DANE (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。

リソースレコード

TLSA リソースレコードは独自の DNS レコードです。安全を保証するサービスのポート番号とプロトコルからなります。TCP のポート 25 を使用する場合、レコードは _25._tcp.example.com IN TLSA 3 0 1 $DATA のようになります。TLSA パラメータ 3 0 1 はデータについて情報を定義しています。最初の数字は Certificate Usage Field で、2番目は Selector Field、3番目には Matching Type Field という名前が付いています。

Certificate Usage Field
名前 説明
0 PKIX トラストアンカー ハッシュには x509 ツリーのパブリック CA が含まれ証明書に署名する。
1 PKIX エンドエンティティ ハッシュには証明書が含まれ x509 検証に渡される。
2 DANE トラストアンカー ハッシュにはプライベート CA (x509 ツリーからは参照不可) が含まれ証明書に署名する。
3 DANE エンドエンティティ ハッシュには他の検証に一致しない証明書が含まれる。
Selector Field
名前 説明
0 cert DATA は完全な証明書に基づく。
1 SPKI DATA は公開鍵にのみ基づく。
Matching Type Field
名前 説明
0 Full DATA は完全な証明書または SPKI である。
1 sha256 DATA は証明書や SPKI の sha256 ハッシュである。
2 sha512 DATA は証明書や SPKI の sha512 ハッシュである。

リソースレコードは ldns に含まれている ldns-danesshfpAUR に含まれている dane などのツールで簡単に生成できます。

DANE に対応しているソフトウェア

参照