勉強前イメージ
見たことないかも??
調査
DANE とは
DNS-Based Authentication of Named Entities の略で、デーンと読みます。
DANEはDNSを用いて通信するための仕組みになります。
DNSSEC を利用してDANE自体はドメインの証明書を発行する認証局、または証明書の紐づけを行い
証明書を不正に発行するようなことを防ぎます。
悪意を持った第三者はドメインの所有者ではなく認証局を狙って証明書を不正に発行したりします。
それを防ぐのがDANEです。
DANEが格納する情報について
DANEはTLSAレコードというものに証明書の情報を定義します。
以下は定義されている4種類になります。
- CA証明書の情報
SSL証明書の発行元CAの証明書情報または公開鍵のハッシュ値になります。
ハンドシェイクで取得した証明書の階層検証を行ってCA証明書があることを確認します。
- エンドエンティティ証明書の情報
SSL証明書の情報。
ハンドシェイクで取得した証明書がTLSAレコードと一緒であることを確認します。
- トラストアンカーの証明書の情報
SSL証明書の階層の最上位にいるCA、 トラストアンカー の情報になります。
ハンドシェイクで取得した証明書の階層検証を行ってトラストアンカーがTLSAレコードに設定された証明書と一致することを確認します。
- 自己署名証明書の情報
いわゆるオレオレ証明書の情報になります。
取得した証明書がTLSAレコードに設定された証明書と一致することを確認する必要があります。
勉強後イメージ
DNSって結構セキュリティ的にも狙われてるんじゃない?って感じしてる・・・
最近DNSを調べててめっちゃいろいろあるなぁと。
参考
- DANEとは
- [DNS-based Authentication of Named Entities(DANE)(https://college.globalsign.com/blog/dane/)