メインコンテンツまでスキップ

7. Security Considerations (セキュリティに関する考慮事項)

7. Security Considerations (セキュリティに関する考慮事項)

DNS Push Notifications には DNS over TLS の厳格なプライバシープロファイルが必須です [RFC8310]。DNS Push Notifications では平文接続は許可されません。これは新しいプロトコルであるため, 日和見的プライバシープロファイルからの移行メカニズムは不要です。

また, TLS 使用のさまざまなバージョンに関する追加の推奨事項については, 文書 Usage Profiles for DNS over (D)TLS [RFC8310] のセクション 9 を参照してください。

TLS を要求した結果として, より強力なクライアント-サーバーセキュリティまたはエンドツーエンドセキュリティのために, クライアント証明書認証および検証もサーバーによって強制される場合があります。ただし, 特定の展開シナリオにおけるセキュリティの推奨事項は, このドキュメントの範囲外です。

DNS Push Notification サーバーの認証には DNSSEC が推奨されます。TLS だけでは完全なセキュリティは提供されません。TLS 証明書検証は, クライアントが実際に目的のホスト名に関連付けられたサーバーと通信していることを合理的に保証できますが, 目的のホスト名は DNS SRV クエリを介して学習されるため, SRV クエリが破壊された場合, クライアントは不正なサーバーへの安全な接続を持つ可能性があります。DNSSEC は, SRV クエリが破壊されていないという追加の信頼を提供できます。

最終更新