DNS-based Authentication of Named Entities

DNS-based Authentication of Named Entities（DANE、名前付きエンティティの DNS ベースの認証）は、一般的に Transport Layer Security（TLS）に使用されるX.509証明書を、DNS Security Extensions（DNSSEC）を使用して、DNS 名にバインドすることを可能にする通信プロトコルである^[1]。

認証局（CA）を持たないTLSクライアント・サーバーのエンティティを認証するための方法として、RFC6698で提案された。

論理的根拠

現在、TLS/SSL 暗号化は認証局（CA）が発行した証明書に基づいている。過去数年間に、多くのCAプロバイダが深刻なセキュリティ侵害（security breaches（英語版））を受け、ドメインを所有者以外が有名なドメインの証明書を発行できるようになってしまう問題が起きた。いずれかのCAがセキュリティ侵害を受けただけで、任意のドメイン名の証明書を発行できてしまうため、多数のCAを信頼することはセキュリティ上の問題となりうる。DANEを使用すると、ドメイン名の管理者は、そのドメインのTLSクライアントまたはサーバーで使用されているキーをDNSに格納できる。DANEのセキュリティモデルを機能させるためには、DNSレコードをDNSSECで署名する必要がある。

さらにDANEでは、ドメインの所有者が、特定のリソースのために証明書の発行を許可するCAを指定することができるため、CAが任意のドメインの証明書を発行することができてしまう問題を解決することができる。

サポート

アプリケーション

• Google Chrome DANE をサポートしていない。Adam Langley によると、コードが書かれていたが^[2]、現在の Chrome には存在しない^[3]。しかし、アドオンを利用して使用可能である^[4][5]。
• Mozilla Firefox アドオンを介してサポートしている^[6]。
• Irssi^[7]

サーバー

• Postfix^[8]
• Posteo（英語版）^[9]
• mailbox.org^[10]
• Dotplex^[11]
• mail.de^[12]
• Tutanota.de^[13]

ライブラリ

• GnuTLS^[14]
• Net::DNS（英語版）^[15]
• Net_DNS2（英語版）^[16]

標準規格

• RFC 6394 Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
• RFC 6698 The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
• RFC 7218 Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)