DANEのソースを表示

[[Category:ドメインネームシステム]]
[[en:DANE]]
[[wikipedia:ja:DNS-based Authentication of Named Entities|DANE]] (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。

== リソースレコード ==

TLSA リソースレコードは独自の DNS レコードです。安全を保証するサービスのポート番号とプロトコルからなります。TCP のポート 25 を使用する場合、レコードは {{ic|_25._tcp.example.com IN TLSA 3 0 1 $DATA}} のようになります。TLSA パラメータ {{ic|3 0 1}} はデータについて情報を定義しています。最初の数字は Certificate Usage Field で、2番目は Selector Field、3番目には Matching Type Field という名前が付いています。
{| class="wikitable"
|+ Certificate Usage Field
! 値 !! 名前 !! 説明
|-
| 0 || PKIX トラストアンカー || ハッシュには x509 ツリーのパブリック CA が含まれ証明書に署名する。
|-
| 1 || PKIX エンドエンティティ || ハッシュには証明書が含まれ x509 検証に渡される。
|-
| 2 || DANE トラストアンカー || ハッシュにはプライベート CA (x509 ツリーからは参照不可) が含まれ証明書に署名する。
|-
| 3 || DANE エンドエンティティ || ハッシュには他の検証に一致しない証明書が含まれる。
|}

{| class="wikitable"
|+ Selector Field
! 値 !! 名前 !! 説明
|-
| 0 || cert || DATA は完全な証明書に基づく。
|-
| 1 || SPKI || DATA は公開鍵にのみ基づく。
|}

{| class="wikitable"
|+ Matching Type Field
! 値 !! 名前 !! 説明
|-
|0	|| Full || DATA は完全な証明書または SPKI である。
|-
|1	|| sha256 || DATA は証明書や SPKI の sha256 ハッシュである。
|-
|2	|| sha512 || DATA は証明書や SPKI の sha512 ハッシュである。
|}

リソースレコードは {{Pkg|ldns}} に含まれている {{ic|ldns-dane}} や {{Aur|sshfp}} に含まれている {{ic|dane}} などのツールで簡単に生成できます。

== DANE に対応しているソフトウェア ==

* [[Postfix#DANE (DNSSEC)|Postfix]]
* Exim > 4.85
* Prosody ({{Aur|prosody-mod-s2s-auth-dane}} が必要)

== 参照 ==

* [https://danetools.com/dane DANE Validator]
* [https://dane.sys4.de/common_mistakes Common implementation mistakes]
* [https://www.huque.com/bin/gen_tlsa Generate TLSA records online]