Internet Week 2010からDNSSECの話題を伝える記事。
【Internet Week 2010】 現実になってきたDNSSEC、しかし関係者は手探り状態? -INTERNET Watch
東京・秋葉原の富士ソフトアキバプラザで開催された「Internet Week 2010」で25日、DNSに関連する3つのセッションおよびBoFが行われた。今回は、それらの中から、DNSSECに話題を絞ってお伝えする。
失敗するケースやリスクなどにも言及した。DNSSECでは絶対時間を使用するため、系全体での時刻同期が必須であること。運用の際には、きちんとした手順を踏む必要があること。親と子の関係が今までとは比較にならないぐらい密接になることなどを挙げ、それに従わなかった場合にどのようなことが起こるかが示された。
興味深い内容としては、DNSSECを後押しするものは「KIDNS(Keys In DNS)」かもしれないという話題である。KIDNSとは、デジタル証明書をDNSレコード中に格納するための技術提案である。これは、ドメイン名の一致が重要となる証明書では、DNSを使用してデジタル証明書を配布する方がよいのではないかという考え方から来ている。既存のモデルでは、あるCA局を信用すると、そのCA局によって発行される証明書全体が信用されることになり、特定の証明書だけを信用することができないという理由もある。
従来は、DNS自体の信頼性が高くなかったこと、そして512オクテットのサイズ制限があったことなどがネックとなっていたが、DNSSECの導入が進み、それらの課題がクリアされつつあることで議論が活発になってきたようだ。
導入当初は設定や運用で必ずミスが出る。それにどう向き合うかということを述べていることだ。実際、DNSSECで名前解決に失敗するとそのドメイン名にアクセスできなくなるため、その事態を想定し備えなくてはいけない。
KIDNSは、IETFでドラフト/チャーターが出たところらしい。
IETF — WG Review: Keys In DNS (kidns)
Keys In DNS (kidns)
———————–
Last modified: 2010-10-25
Current status: Proposed Working Group
Objective:
Specify mechanisms and techniques that allow Internet applications to
establish cryptographically secured communications by using information
distributed through the DNS and authenticated using DNSSEC to obtain
public keys which are associated with a service located at a
domain name.
Problem Statement:
Entities on the Internet are usually identified using domain names and
forming a cryptographically secured connection to the entity requires
the entity to authenticate its name. For instance, in HTTPS, a server
responding to a query for is expected to
authenticate as “www.example.com”. Security protocols such as TLS and
IPsec accomplish this authentication by allowing an endpoint to prove
ownership of a private key whose corresponding public key is somehow
bound to the name being authenticated. As a pre-requisite for
authentication, then, these protocols require a mechanism for bindings
to be asserted between public keys and domain names.
DNSSEC provides a mechanism for a domain operator to sign DNS
information directly, using keys that are bound to the domain by the
parent domain; relying parties can continue this chain up to any trust
anchor that they accept. In this way, bindings of keys to domains are
asserted not by external entities, but by the entities that operate the
DNS. In addition, this technique inherently limits the scope of any
given entity to the names in zones he controls.
This working group will develop mechanisms for domain operators to
present bindings between names within their control and public keys, in
such a way that these bindings can be integrity-protected (and thus
shown to be authentically from the domain operator) using DNSSEC and
used as a basis for authentication in protocols that use domain names as
identifiers. Possible starting points for these deliverables include
draft-hallambaker-certhash, draft-hoffman-keys-linkage-from-dns, and
draft-josefsson-keyassure-tls.
The mechanisms developed by this group will address bindings between
domain names and keys, allowing flexibility for all key-transport
mechanisms supported by the application protocols addressed (e.g., both
self-signed and CA-issued certificates for use in TLS).
The group may also create documents that describe how protocol entities
can discover and validate these bindings in the execution of specific
applications. This work would be done in coordination with the IETF
Working Groups responsible for the protocols.
Milestones:
Dec 2010 First WG draft of standards-track protocol for using DNS to
associate hosts with keys for TLS and DTLS
Jan 2011 First WG draft of standards-track protocols for using DNS to
associate hosts with IPsec
Jun 2011 Protocol for using DNS to associate domain names with keys
for TLS and DTLS to IESG
Aug 2011 Protocols for using DNS to associate domain names with keys
for IPsec to IESG
Aug 2011 Recharter
3分間DNS基礎講座
網野 衛二 (著)
# 単行本(ソフトカバー): 288ページ
# 出版社: 技術評論社 (2009/6/12)
# 言語 日本語
# ISBN-10: 4774138630
# ISBN-13: 978-4774138633
# 発売日: 2009/6/12
内容(「BOOK」データベースより)
3分でなっとく、DNS&FTP&TELNET基礎の基礎。