DANE
ナビゲーションに移動
検索に移動
DANE (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。
リソースレコード
TLSA リソースレコードは独自の DNS レコードです。安全を保証するサービスのポート番号とプロトコルからなります。TCP のポート 25 を使用する場合、レコードは _25._tcp.example.com IN TLSA 3 0 1 $DATA
のようになります。TLSA パラメータ 3 0 1
はデータについて情報を定義しています。最初の数字は Certificate Usage Field で、2番目は Selector Field、3番目には Matching Type Field という名前が付いています。
値 | 名前 | 説明 |
---|---|---|
0 | PKIX トラストアンカー | ハッシュには x509 ツリーのパブリック CA が含まれ証明書に署名する。 |
1 | PKIX エンドエンティティ | ハッシュには証明書が含まれ x509 検証に渡される。 |
2 | DANE トラストアンカー | ハッシュにはプライベート CA (x509 ツリーからは参照不可) が含まれ証明書に署名する。 |
3 | DANE エンドエンティティ | ハッシュには他の検証に一致しない証明書が含まれる。 |
値 | 名前 | 説明 |
---|---|---|
0 | cert | DATA は完全な証明書に基づく。 |
1 | SPKI | DATA は公開鍵にのみ基づく。 |
値 | 名前 | 説明 |
---|---|---|
0 | Full | DATA は完全な証明書または SPKI である。 |
1 | sha256 | DATA は証明書や SPKI の sha256 ハッシュである。 |
2 | sha512 | DATA は証明書や SPKI の sha512 ハッシュである。 |
リソースレコードは ldns に含まれている ldns-dane
や sshfpAUR に含まれている dane
などのツールで簡単に生成できます。
DANE に対応しているソフトウェア
- Postfix
- Exim > 4.85
- Prosody (prosody-mod-s2s-auth-daneAUR が必要)