つもちゃんのひとりごと (2014年03月)

古い記事のリンクは切れていることがありますが予めご了承下さい。
2014年03月03日  本日のお題:DANEのテスト
超久しぶりにインターネット技術的な話を書いてみます。

DANEとは、RFC 6698に規定されている、DNSを用いた公開鍵の配送技術。概略どんなものかは、IPAのページ辺りを読むといいと思いますが、要するに、TLSにおける通信相手の認証のために、認証局ではなくDNSを使う仕組み。DNSが信頼できる必要があるので、DNSSECが前提ではあります。
以前からテストしてみようと思ってたんだけど、ちゃんと動いてるかどうか確認する術がないということで、しばらく放置してました。
そんなとき、久しぶりにDNSSEC Validatorをチェックすると、いつの間にかDANEのDNSレコードであるTLSAもチェックできるようになってるではありませんか。というわけで、httpsを対象にテスト再開。
DNSへの公開鍵の登録のしかたは、この辺りを参考に。Apacheの "SSLCertificateFile" に指定している証明書を対象に
% openssl x509 -in (証明書) -inform PEM -outform DER | openssl dgst -sha256
2f09.....(略)
出てきたやつを
_443._tcp.vogue IN      TLSA    3 0 1 2f09.....(略)
という感じでDNSに登録すると、ホスト vogue の TCP/443 に対する設定はおしまい。
オレオレ証明書なので、ブラウザでアクセスするとブラウザによる警告は出ますが、許可してみると、どうやらちゃんと動いてるっぽい。左側がDNSSECのインジケーター、右側がTLSAのインジケーターです。

そもそも、うちのドメインはDNSSECがDLV使った「えせ」なのでイマイチ。これで「信頼」できるのか、かなり怪しい。早くレジストラがDNSSECに対応してくれないかなぁ。

メール関係もオレオレ証明書でいろいろやってるので、いずれ設定してみるかな。一応Postfixは対応してるみたいだし。

動いたのはまぁよしとして、これがメジャーになる日が来るのかなぁ?

今月分へもどる