DNS-based Authentication of Named Entities

DNS-based Authentication of Named Entities（DANE、名前なまえ付つきエンティティの DNS ベースの認証にんしょう）は、一般いっぱん的てきに Transport Layer Security（TLS）に使用しようされるX.509証明しょうめい書しょを、DNS Security Extensions（DNSSEC）を使用しようして、DNS 名なにバインドすることを可能かのうにする通信つうしんプロトコルである^[1]。

認証にんしょう局きょく（CA）を持もたないTLSクライアント・サーバーのエンティティを認証にんしょうするための方法ほうほうとして、RFC6698で提案ていあんされた。

現在げんざい、TLS/SSL 暗号あんごう化かは認証にんしょう局きょく（CA）が発行はっこうした証明しょうめい書しょに基もとづいている。過去かこ数すう年間ねんかんに、多おおくのCAプロバイダが深刻しんこくなセキュリティ侵害しんがい（security breaches（英語えいご版ばん））を受うけ、ドメインを所有しょゆう者しゃ以外いがいが有名ゆうめいなドメインの証明しょうめい書しょを発行はっこうできるようになってしまう問題もんだいが起おきた。いずれかのCAがセキュリティ侵害しんがいを受うけただけで、任意にんいのドメイン名めいの証明しょうめい書しょを発行はっこうできてしまうため、多数たすうのCAを信頼しんらいすることはセキュリティ上じょうの問題もんだいとなりうる。DANEを使用しようすると、ドメイン名めいの管理かんり者しゃは、そのドメインのTLSクライアントまたはサーバーで使用しようされているキーをDNSに格納かくのうできる。DANEのセキュリティモデルを機能きのうさせるためには、DNSレコードをDNSSECで署名しょめいする必要ひつようがある。

さらにDANEでは、ドメインの所有しょゆう者しゃが、特定とくていのリソースのために証明しょうめい書しょの発行はっこうを許可きょかするCAを指定していすることができるため、CAが任意にんいのドメインの証明しょうめい書しょを発行はっこうすることができてしまう問題もんだいを解決かいけつすることができる。

• Google Chrome DANE をサポートしていない。Adam Langley によると、コードが書かかれていたが^[2]、現在げんざいの Chrome には存在そんざいしない^[3]。しかし、アドオンを利用りようして使用しよう可能かのうである^[4][5]。
• Mozilla Firefox アドオンを介かいしてサポートしている^[6]。
• Irssi^[7]

• Postfix^[8]
• Posteo（英語えいご版ばん）^[9]
• mailbox.org^[10]
• Dotplex^[11]
• mail.de^[12]
• Tutanota.de^[13]

• GnuTLS^[14]
• Net::DNS（英語えいご版ばん）^[15]
• Net_DNS2（英語えいご版ばん）^[16]

• RFC 6394 Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)
• RFC 6698 The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA
• RFC 7218 Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)

• DNS Certification Authority Authorization

• List of DANE test sites
• Verisign Labs DANE Demonstration
• Online tool to check domains for DNSSEC and DANE support