DANEとは、RFC 6698に規定されている、DNSを用いた公開鍵の配送技術。概略どんなものかは、IPAのページ辺りを読むといいと思いますが、要するに、TLSにおける通信相手の認証のために、認証局ではなくDNSを使う仕組み。DNSが信頼できる必要があるので、DNSSECが前提ではあります。
以前からテストしてみようと思ってたんだけど、ちゃんと動いてるかどうか確認する術がないということで、しばらく放置してました。
そんなとき、久しぶりにDNSSEC Validatorをチェックすると、いつの間にかDANEのDNSレコードであるTLSAもチェックできるようになってるではありませんか。というわけで、httpsを対象にテスト再開。
DNSへの公開鍵の登録のしかたは、この辺りを参考に。Apacheの "SSLCertificateFile" に指定している証明書を対象に
|
|
オレオレ証明書なので、ブラウザでアクセスするとブラウザによる警告は出ますが、許可してみると、どうやらちゃんと動いてるっぽい。左側がDNSSECのインジケーター、右側がTLSAのインジケーターです。
そもそも、うちのドメインはDNSSECがDLV使った「えせ」なのでイマイチ。これで「信頼」できるのか、かなり怪しい。早くレジストラがDNSSECに対応してくれないかなぁ。
メール関係もオレオレ証明書でいろいろやってるので、いずれ設定してみるかな。一応Postfixは対応してるみたいだし。
動いたのはまぁよしとして、これがメジャーになる日が来るのかなぁ?