DNS-based Authentication of Named Entities
DNS-based Authentication of Named Entities(DANE)は、TLS(Transport Layer Security)で使用されるX.509証明書を、DNS Security Extensions(DNSSEC)を利用してDNS名に紐付ける通信プロトコルです。これにより、従来の認証局(CA)に依存したTLS認証の問題点を克服し、より安全な通信環境を実現することを目的としています。
従来のTLS/SSL暗号化は、認証局(CA)が発行する証明書に依存しています。しかし、過去には複数のCAプロバイダがセキュリティ侵害を受け、ドメイン所有者以外がドメインの証明書を発行できてしまうという深刻な問題が発生しました。多数のCAを信頼するという構造自体がセキュリティリスクを抱えており、1つのCAが侵害されるだけで、任意のドメイン名の証明書が発行されてしまう危険性がありました。
DANEは、このような問題を解決するために提案されました。DANEを利用すると、ドメインの管理者は、そのドメインのTLSクライアントやサーバーで使用される鍵情報をDNSに登録できます。DANEのセキュリティモデルが機能するためには、DNSレコードがDNSSECによって署名されている必要があります。
DANEでは、ドメインの所有者が、特定のリソースに対して証明書の発行を許可するCAを指定することができます。これにより、CAが任意のドメインの証明書を発行できてしまうという問題を解決し、セキュリティを大幅に向上させることが可能になります。DANEは、認証局のセキュリティ侵害によるリスクを軽減し、ドメイン所有者自身が証明書利用をより細かく制御できる環境を提供します。
現在、DANEは一部のアプリケーションやサーバーでサポートされていますが、広く普及しているとは言えません。以下にDANEをサポートするアプリケーションやサーバー、ライブラリを示します。
Google Chrome: 公式にはDANEをサポートしていませんが、アドオンを利用することでDANEを使用することができます。過去にはコードが書かれていたものの、現在のChromeには実装されていません。
Mozilla Firefox: アドオンを介してDANEをサポートしています。
Irssi: IRCクライアントであるIrssiもDANEをサポートしています。
Postfix: メールサーバーであるPostfixはDANEをサポートしています。
Posteo: メールサービスプロバイダであるPosteoはDANEをサポートしています。
mailbox.org: メールサービスプロバイダであるmailbox.orgはDANEをサポートしています。
Dotplex: メールサービスプロバイダであるDotplexはDANEをサポートしています。
mail.de: メールサービスプロバイダであるmail.deはDANEをサポートしています。
Tutanota.de: メールサービスプロバイダであるTutanota.deはDANEをサポートしています。
GnuTLS: セキュア通信ライブラリであるGnuTLSはDANEをサポートしています。
Net::DNS: PerlのDNSライブラリであるNet::DNSはDANEをサポートしています。
Net_DNS2: PerlのDNSライブラリであるNet_DNS2はDANEをサポートしています。
DANEに関する主な標準規格は以下の通りです。
RFC 6394: DNS-Based Authentication of Named Entities (DANE)に関するユースケースと要件を定義しています。
RFC 6698: DANEのTransport Layer Security(TLS)プロトコル(TLSA)を定義しています。
RFC 7218: DANEに関する会話を簡略化するための略語を追加しています。
DNS Certification Authority Authorization (CAA): DNSで証明書の発行を許可するCAを指定する仕組みです。
DANEに関する詳しい情報やテストサイトは、以下のリンクから確認できます。
List of DANE test sites
Verisign Labs DANE Demonstration
* Online tool to check domains for DNSSEC and DANE support
DANEは、TLSのセキュリティを向上させるための重要な技術であり、今後の普及が期待されます。
DANEの背景と必要性
従来のTLS/SSL暗号化は、認証局(CA)が発行する証明書に依存しています。しかし、過去には複数のCAプロバイダがセキュリティ侵害を受け、ドメイン所有者以外がドメインの証明書を発行できてしまうという深刻な問題が発生しました。多数のCAを信頼するという構造自体がセキュリティリスクを抱えており、1つのCAが侵害されるだけで、任意のドメイン名の証明書が発行されてしまう危険性がありました。
DANEは、このような問題を解決するために提案されました。DANEを利用すると、ドメインの管理者は、そのドメインのTLSクライアントやサーバーで使用される鍵情報をDNSに登録できます。DANEのセキュリティモデルが機能するためには、DNSレコードがDNSSECによって署名されている必要があります。
DANEの仕組みと利点
DANEでは、ドメインの所有者が、特定のリソースに対して証明書の発行を許可するCAを指定することができます。これにより、CAが任意のドメインの証明書を発行できてしまうという問題を解決し、セキュリティを大幅に向上させることが可能になります。DANEは、認証局のセキュリティ侵害によるリスクを軽減し、ドメイン所有者自身が証明書利用をより細かく制御できる環境を提供します。
DANEのサポート状況
現在、DANEは一部のアプリケーションやサーバーでサポートされていますが、広く普及しているとは言えません。以下にDANEをサポートするアプリケーションやサーバー、ライブラリを示します。
アプリケーション
Google Chrome: 公式にはDANEをサポートしていませんが、アドオンを利用することでDANEを使用することができます。過去にはコードが書かれていたものの、現在のChromeには実装されていません。
Mozilla Firefox: アドオンを介してDANEをサポートしています。
Irssi: IRCクライアントであるIrssiもDANEをサポートしています。
サーバー
Postfix: メールサーバーであるPostfixはDANEをサポートしています。
Posteo: メールサービスプロバイダであるPosteoはDANEをサポートしています。
mailbox.org: メールサービスプロバイダであるmailbox.orgはDANEをサポートしています。
Dotplex: メールサービスプロバイダであるDotplexはDANEをサポートしています。
mail.de: メールサービスプロバイダであるmail.deはDANEをサポートしています。
Tutanota.de: メールサービスプロバイダであるTutanota.deはDANEをサポートしています。
ライブラリ
GnuTLS: セキュア通信ライブラリであるGnuTLSはDANEをサポートしています。
Net::DNS: PerlのDNSライブラリであるNet::DNSはDANEをサポートしています。
Net_DNS2: PerlのDNSライブラリであるNet_DNS2はDANEをサポートしています。
標準規格
DANEに関する主な標準規格は以下の通りです。
RFC 6394: DNS-Based Authentication of Named Entities (DANE)に関するユースケースと要件を定義しています。
RFC 6698: DANEのTransport Layer Security(TLS)プロトコル(TLSA)を定義しています。
RFC 7218: DANEに関する会話を簡略化するための略語を追加しています。
関連項目
DNS Certification Authority Authorization (CAA): DNSで証明書の発行を許可するCAを指定する仕組みです。
外部リンク
DANEに関する詳しい情報やテストサイトは、以下のリンクから確認できます。
List of DANE test sites
Verisign Labs DANE Demonstration
* Online tool to check domains for DNSSEC and DANE support
DANEは、TLSのセキュリティを向上させるための重要な技術であり、今後の普及が期待されます。
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。