RFC 6698 - DANE TLSA

• Status: Proposed Standard
• Veröffentlicht: August 2012
• Stream: IETF
• Errata: Keine Errata

---

Dokumentinformationen (Document Information)

• RFC-Nummer: 6698
• Titel: DNS-basierte Authentifizierung benannter Entitäten (DANE) Transport Layer Security (TLS) Protokoll: TLSA
• Autoren: P. Hoffman (VPN Consortium), J. Schlyter (Kirei AB)
• Datum: August 2012
• Kategorie: Standards Track
• ISSN: 2070-1721
• Aktualisierungen: Aktualisiert durch RFC 7218, RFC 7671, RFC 8749

Zusammenfassung (Abstract)

Verschlüsselte Kommunikation im Internet verwendet häufig Transport Layer Security (TLS), die von Dritten abhängt, um die verwendeten Schlüssel zu zertifizieren. Dieses Dokument verbessert diese Situation, indem es den Administratoren von Domainnamen ermöglicht, die in den TLS-Servern dieser Domain verwendeten Schlüssel anzugeben. Dies erfordert entsprechende Verbesserungen in der TLS-Client-Software, aber keine Änderungen in der TLS-Server-Software.

Status dieses Memorandums (Status of This Memo)

Dies ist ein Internet Standards Track-Dokument.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es repräsentiert den Konsens der IETF-Gemeinschaft. Es wurde öffentlich begutachtet und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung genehmigt. Weitere Informationen zu Internet-Standards sind in Abschnitt 2 von RFC 5741 verfügbar.

Informationen über den aktuellen Status dieses Dokuments, etwaige Errata und wie Feedback gegeben werden kann, können unter http://www.rfc-editor.org/info/rfc6698 abgerufen werden.

Urheberrechtshinweis (Copyright Notice)

Urheberrecht (c) 2012 IETF Trust und die als Dokumentautoren identifizierten Personen. Alle Rechte vorbehalten.

Dieses Dokument unterliegt BCP 78 und den rechtlichen Bestimmungen des IETF Trust in Bezug auf IETF-Dokumente (http://trustee.ietf.org/license-info), die zum Zeitpunkt der Veröffentlichung dieses Dokuments in Kraft sind. Bitte lesen Sie diese Dokumente sorgfältig durch, da sie Ihre Rechte und Einschränkungen in Bezug auf dieses Dokument beschreiben. Aus diesem Dokument extrahierte Codekomponenten müssen den vereinfachten BSD-Lizenztext enthalten, wie in Abschnitt 4.e der Trust-Rechtsbestimmungen beschrieben, und werden ohne Gewährleistung bereitgestellt, wie in der vereinfachten BSD-Lizenz beschrieben.

Inhalt (Contents)

• 1. Einführung
  • 1.1. Hintergrund und Motivation
  • 1.2. Sicherung der Zuordnung eines Domainnamens zum Zertifikat eines Servers
  • 1.3. Methode zur Sicherung von Zertifikatszuordnungen
  • 1.4. Terminologie
• 2. Der TLSA-Ressourceneintrag
  • 2.1. TLSA RDATA Wire-Format
  • 2.2. TLSA RR-Präsentationsformat
  • 2.3. TLSA RR-Beispiele
• 3. Domainnamen für TLSA-Zertifikatszuordnungen
• 4. Verwendung von TLSA-Einträgen in TLS
  • 4.1. Verwendbare Zertifikatszuordnungen
• 5. TLSA und DANE Anwendungsfälle und Anforderungen
• 6. Obligatorisch zu implementierende Funktionen
• 7. IANA-Überlegungen
  • 7.1. TLSA RRtype
  • 7.2. TLSA-Zertifikatsverwendungen
  • 7.3. TLSA-Selektoren
  • 7.4. TLSA-Übereinstimmungstypen
• 8. Sicherheitsüberlegungen
  • 8.1. Vergleich von DANE mit öffentlichen CAs
  • 8.2. DNS-Caching
  • 8.3. Externe DNSSEC-Validatoren
• 9. Danksagungen
• 10. Referenzen
  • 10.1. Normative Referenzen
  • 10.2. Informative Referenzen

Anhänge (Appendices)

• Anhang A. Operative Überlegungen zur Bereitstellung von TLSA-Einträgen
  • A.1. Erstellen von TLSA-Einträgen
  • A.2. Bereitstellung von TLSA-Einträgen in DNS
  • A.3. Sicherung des letzten Hops
  • A.4. Umgang mit Zertifikatswechsel
• Anhang B. Pseudocode zur Verwendung von TLSA
  • B.1. Hilfsfunktionen
  • B.2. Haupt-TLSA-Pseudocode
• Anhang C. Beispiele