このトピックでは、Address Manager で TLSA レコードを構成するためのタスクを含め、DANE および TLSA レコードに関する概念的な情報について説明します。
DNS-based Authentication of Named Entities (DANE) は、DNSSEC を用いて Transport Layer Security (TLS) を DNS 名にバインドするために一般的に使用される、X.509 証明書を許可するプロトコルです。DANE では、SSL/TLS 証明書をより安全に認証する方法を提供する TLSA レコード が導入されています。
TLS は、認証および暗号化を提供しますが、証明書が適切にアンカされている場合にのみ機能します。認証局 (CA) からのルート証明書であるトラスト アンカは、偽装される可能性があります。DANE ではこれを解決するために、証明書が有効であることを認証する DNSSEC によって検証された TLSA レコードを使用します。TLSA レコードでは、証明書または CA を DNS 自体で認証できるよう指定することもできます。
DANE は、HTTPS、SMTP、XMPP、SIP プロトコルをサポートしています。
- DANE は、証明書と Raw 鍵の両方をサポートしています
- 鍵 (Raw または証明書に埋め込み済) は、完全鍵である場合や鍵のハッシュである場合があります。
- DANE は、電子メール通信に対してエンドツーエンドの SMTP セキュリティを提供します。
注: DANE は最初に RFC 6698 で提示された後、RFC 7671 で操作およびデプロイメント ガイダンスが更新されました。詳しくは、「DNS/DHCP サーバの RFC コンプライアンス」を参照してください。