web-dev-qa-db-ja.com

DANEプロトコルがDNSSECに依存しているのはなぜですか?

名前付きエンティティのDNSベースの認証( [〜#〜] dane [〜#〜] )プロトコルがドメインネームシステムのセキュリティ拡張機能( [〜#〜] dnssec [ 〜#〜] )?

2
Bob Ortiz

名前付きエンティティのDNSベースの認証(DANE)プロトコルの考え方は、ドメイン所有者が、サーバーがDNSリソースレコードで使用する証明書のフィンガープリントを公開するというものです。証明書偽造防止対策です。 TLS経由でサーバーに接続するユーザーは、対応するドメイン名のDNSレコードで提示された証明書のフィンガープリントを検索して、所有者によって許可されているかどうかを確認できます。

これは、DANEがDNS応答を信頼できるという前提に依存していることを意味します。これは、通常のDNSの場合とは異なります。したがって、DNSレコードの整合性をアサートするために、DANEはDNSSECが提供する署名メカニズムを使用します。そうしないと、中間者がTLSAレコードのフィンガープリントを変更するだけで、DANEは役に立たなくなります。

7
Arminius