TLSA レコードの概念的な概要
DANE では、認証局からの公開証明書の使用を強化または置換するために、DNSSEC で認証される新しい DNS リソース レコード (TLSA) を導入しています。TLSA
レコードは、構文 _<portnumber>._<protocol>.<FQDN> を使用するプレフィックス付き DNS
ドメイン名として格納されます。例:
_443._tcp.example.comTLSA レコードは 4 つのフィールド (1 オクテットの証明書使用方法フィールド、1 オクテットのセレクタ フィールド、1 オクテットのマッチング タイプ フィールド、および証明書関連データ) で構成されます。
TLSA 証明書使用方法フィールド
どれが証明書であるかを示し、TLSA レコードがトラスト チェーンで何を指しているかを識別します。証明書使用方法フィールドには、値
3、2、1、または 0 が入ります。
注: 値 4 ~ 254 は割り当てられていません。値 255 はプライベートで使用されます。
| 値 | 説明 |
|---|---|
| 0 | PKIX-TA:認証局制約。公開 CA 証明書、または X.509 ツリーにある公開 CA 証明書の公開鍵。この公開鍵はトラスト チェーンのトラスト アンカで検証する必要があります。TLSA レコードは、ドメインの TLS 証明書を提供する CA を指定します。 |
| 1 | PKIX-EE:サービス証明書制約。特定の TLS 証明書を指しますが、別のトラスト アンカによる検証が必要です。TLSA レコードは、ドメインに使用する必要のある完全な TLS 証明書を指定します。この証明書は有効な CA で発行する必要があります。 |
| 2 | DANE-TA:トラスト アンカ アサーション。 X.509 ツリーにある秘密鍵。この秘密鍵はトラスト チェーンのトラスト アンカで検証する必要があります。TLSA レコードは、ドメインの TLS 証明書を検証するために使用するトラスト アンカを指定します。 |
| 3 | DANE-EE:ドメイン発行証明書。検証に必要な X.509 ツリー、トラスト アンカ、またはラスト チェーンなし。TLS レコードは、ドメインに使用する必要のある完全な TLS 証明書を指定しますが、有効な CA で TLS 証明書に署名する必要がないため、自己署名済みの証明書を使用できます。 |
TLSA セレクタ フィールド
TLSA レコードが完全または部分的な鍵とマッチしているかどうかを示します。セレクタ フィールドには、値 1 または 0 が入ります。
注: 値 2 ~ 254 は割り当てられていません。値 255 はプライベートで使用されます。
| 値 | 説明 |
|---|---|
| 0 | 完全な証明書 |
| 1 | 部分的な鍵 (SubjectPublicKeyInfo) |
TLSA マッチング タイプ フィールド
マッチの種類 (SHA256、SHA512、または完全) を示します。マッチング タイプ フィールドには、2、1、または 0
という値が含まれます。
注: 値 3 ~ 254 は割り当てられていません。値 255 はプライベートで使用されます。
| 値 | 説明 |
|---|---|
| 0 | 完全: ハッシュなし。データは証明書または公開鍵です。 |
| 1 | SHA256: データは証明書または公開鍵の SHA256 ハッシュです。 |
| 2 | SHA512: データは証明書または公開鍵の SHA512 ハッシュです。 |
TLSA レコードの例
ドメイン発行エンドエンティティ証明書の例:
_443._tcp.www.example.com. IN TLSA (
3 1 1 ecc104c4fbb06b249d3c7a
68f19cf28a60a9c6814874
ad7efde451688039fe01 )