名前付きエンティティのDNSベースの認証( [〜#〜] dane [〜#〜] )プロトコルはどのように認証局( [〜#〜] ca [〜#〜] )廃止されましたか?
言い換えると、DANEが認証局を必要としないことは技術的にどのように可能ですか?
DANEを使用すると、ドメインのすべての所有者がDNS内で証明書を公開できます。つまり、証明書の所有者であるドメインの所有者によって完全に管理されます。ただし、DANEにはDNSSecが必要です。そうしないと、そのようなレコードがスプーフィングされ、証明書に大きな問題が発生する可能性があるためです。したがって、DANEは、信頼されたルートCAへのチェーンを構築するために証明書階層に依存しませんが、同様の概念、つまり信頼されたルートキーを持つキー階層に依存します。
CAが発行した証明書との主な違いは、ドメイン所有者がそのドメイン自体に属するすべての証明書を完全に作成し、それをこの信頼できるキーの階層に挿入できることです。キーをDNSから削除するだけでよいため、同様の失効が容易になります。もちろん、これには、ドメイン所有者が独自のDNSレコードを管理でき、これらがDNSSecで保護されている必要があります。