「DANE」の版間の差分
ナビゲーションに移動
検索に移動
(ページの作成:「Category:Domain Name System Category:セキュリティ en:DANE DANE (DNS-based Authentication of...」) |
Kusanaginoturugi (トーク | 投稿記録) (カテゴリを削除) |
||
| 1行目: | 1行目: | ||
[[Category:Domain Name System]] |
[[Category:Domain Name System]] |
||
| − | [[Category:セキュリティ]] |
||
[[en:DANE]] |
[[en:DANE]] |
||
[[wikipedia:ja:DNS-based Authentication of Named Entities|DANE]] (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。 |
[[wikipedia:ja:DNS-based Authentication of Named Entities|DANE]] (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。 |
||
2023年5月25日 (木) 13:36時点における最新版
DANE (DNS-based Authentication of Named Entities) は Domain Name System Security Extensions (DNSSEC) を使って (Transport Layer Security (TLS) で一般的に使われている) X.509 証明書を DNS 名に紐付けることができるプロトコルです。
リソースレコード
TLSA リソースレコードは独自の DNS レコードです。安全を保証するサービスのポート番号とプロトコルからなります。TCP のポート 25 を使用する場合、レコードは _25._tcp.example.com IN TLSA 3 0 1 $DATA のようになります。TLSA パラメータ 3 0 1 はデータについて情報を定義しています。最初の数字は Certificate Usage Field で、2番目は Selector Field、3番目には Matching Type Field という名前が付いています。
| 値 | 名前 | 説明 |
|---|---|---|
| 0 | PKIX トラストアンカー | ハッシュには x509 ツリーのパブリック CA が含まれ証明書に署名する。 |
| 1 | PKIX エンドエンティティ | ハッシュには証明書が含まれ x509 検証に渡される。 |
| 2 | DANE トラストアンカー | ハッシュにはプライベート CA (x509 ツリーからは参照不可) が含まれ証明書に署名する。 |
| 3 | DANE エンドエンティティ | ハッシュには他の検証に一致しない証明書が含まれる。 |
| 値 | 名前 | 説明 |
|---|---|---|
| 0 | cert | DATA は完全な証明書に基づく。 |
| 1 | SPKI | DATA は公開鍵にのみ基づく。 |
| 値 | 名前 | 説明 |
|---|---|---|
| 0 | Full | DATA は完全な証明書または SPKI である。 |
| 1 | sha256 | DATA は証明書や SPKI の sha256 ハッシュである。 |
| 2 | sha512 | DATA は証明書や SPKI の sha512 ハッシュである。 |
リソースレコードは ldns に含まれている ldns-dane や sshfpAUR に含まれている dane などのツールで簡単に生成できます。
DANE に対応しているソフトウェア
- Postfix
- Exim > 4.85
- Prosody (prosody-mod-s2s-auth-daneAUR が必要)