RFC 7858 - DNS over Transport Layer Security (TLS)
公開日: 2016年5月
ステータス: 標準化過程 (Standards Track)
著者: Z. Hu, L. Zhu, J. Heidemann (USC/ISI), A. Mankin (Independent), D. Wessels (Verisign Labs), P. Hoffman (ICANN)
概要 (Abstract)
本文書は、DNSにプライバシーを提供するためにトランスポート層セキュリティ (Transport Layer Security, TLS) を使用する方法について記述します。TLSによって提供される暗号化は、RFC 7626で議論されているように、ネットワーク内でのDNSクエリに対する盗聴や経路上での改ざんの機会を排除します。さらに、本文書はDNS over TLSの2つの使用プロファイル (Usage Profiles) を規定し、TCPとTLSをDNSで使用する際のオーバーヘッドを最小限に抑えるためのパフォーマンス考慮事項に関する助言を提供します。
本文書は、DPRIVEワーキンググループの憲章に従い、スタブから再帰への通信 (stub-to-recursive traffic) の保護に焦点を当てています。本プロトコルが再帰から権威への通信 (recursive-to-authoritative traffic) に将来適用されることを妨げるものではありません。
目次 (Contents)
- 1. Introduction (はじめに)
- 2. Key Words (キーワード)
- 3. Establishing and Managing DNS-over-TLS Sessions (DNS-over-TLSセッションの確立と管理)
- 3.1 Session Initiation (セッション開始)
- 3.2 TLS Handshake and Authentication (TLSハンドシェイクと認証)
- 3.3 Transmitting and Receiving Messages (メッセージの送受信)
- 3.4 Connection Reuse, Close, and Reestablishment (接続の再利用、クローズ、および再確立)
- 4. Usage Profiles (使用プロファイル)
- 4.1 Opportunistic Privacy Profile (日和見的プライバシープロファイル)
- 4.2 Out-of-Band Key-Pinned Privacy Profile (帯域外キー固定プライバシープロファイル)
- 5. Performance Considerations (パフォーマンスの考慮事項)
- 6. IANA Considerations (IANAの考慮事項)
- 7. Design Evolution (設計の進化)
- 8. Security Considerations (セキュリティの考慮事項)
- 9. References (参考文献)
- 9.1 Normative References (規範的参考文献)
- 9.2 Informative References (参考情報)
付録 (Appendices)
関連リソース
- 公式原文: RFC 7858
- 公式ページ: RFC 7858 DataTracker
- 正誤表: RFC Editor Errata
本RFCの意義
DNS over TLS (DoT) は、DNSクエリとレスポンスにTLS暗号化層を追加することで、DNS通信に重要なプライバシー保護を提供します:
- プライバシー保護: 第三者によるユーザーのDNSクエリの盗聴を防止
- 完全性保護: 中間者によるDNSレスポンスの改ざんを防止
- 認証: オプションのサーバー身元検証
- 専用ポート: TCP ポート 853を使用し、従来のDNS (ポート 53) と分離
主要な技術的特徴:
- TLS 1.2以上を使用
- パフォーマンス向上のための接続再利用をサポート
- 2つのプライバシープロファイルを定義: 日和見的プライバシーとキー固定プライバシー
- 主にクライアントから再帰リゾルバへの通信を保護するために設計
関連プロトコル:
- RFC 8484: DNS over HTTPS (DoH)
- RFC 7626: DNS Privacy Considerations
- RFC 8310: Usage Profiles for DNS over TLS and DNS over DTLS