Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon Route 53, 待ちに待った TLSAレコードのサポート開始

KenichiNakamura
January 19, 2025
Technology
0
82

Amazon Route 53, 待ちに待った TLSAレコードのサポート開始

KenichiNakamura

January 19, 2025
Tweet

More Decks by KenichiNakamura

See All by KenichiNakamura
ゼロからはじめる生成AI〜AWS認定とハンズオンで学ぶ初心者の道〜
kenichinakamura
0
430

Other Decks in Technology

See All in Technology
Building Scalable Backend Services with Firebase
wisdommatt
0
110
新しいスケーリング則と学習理論
taiji_suzuki
10
3.8k
I could be Wrong!! - Learning from Agile Experts
kawaguti
PRO
8
3.2k
20240522 - 躍遷創作理念 @ PicCollage Workshop
dpys
0
310
Alignment and Autonomy in Cybozu - 300人の開発組織でアラインメントと自律性を両立させるアジャイルな組織運営 / RSGT2025
ama_ch
1
2.2k
AWS re:Invent 2024 re:Cap Taipei (for Developer): New Launches that facilitate Developer Workflow and Continuous Innovation
dwchiang
0
140
データ基盤におけるIaCの重要性とその運用
mtpooh
1
170
30分でわかるデータ分析者のためのディメンショナルモデリング #datatechjp / 20250120
kazaneya
PRO
21
4.6k
Accessibility Inspectorを活用した アプリのアクセシビリティ向上方法
hinakko
0
170
自社 200 記事を元に整理した読みやすいテックブログを書くための Tips 集
masakihirose
2
310
FODにおけるホーム画面編成のレコメンド
watarukudo
PRO
2
200
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
120

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Visualization
eitanlees
146
15k
Producing Creativity
orderedlist
PRO
343
39k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
Designing for Performance
lara
604
68k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7.1k
A better future with KSS
kneath
238
17k
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
jQuery: Nuts, Bolts and Bling
dougneiner
62
7.6k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
3
170
Adopting Sorbet at Scale
ufuk
74
9.2k
Six Lessons from altMBA
skipperchong
27
3.6k

Transcript

  1. © 2025 kenichium.com Amazon Route 53, 待ちに待った TLSAレコードのサポート開始 中村 健一

    kenichium.com

  2. © 2025 kenichium.com © 2025 kenichium.com 自己紹介 中村 健一 Nakamura, Kenichi

    ➢ AWSを中心に遊んでいます ◦ 好きなサービス(2025/1現在) ▪ AWS Security Hub ▪ AWS Control Tower ➢ スイーツには目がありません ◦ 週1回はケーキか何かを食べてます ➢ クラスメソッド株式会社に勤務 ◦ AWSソリューションアーキテクト 2

  3. © 2025 kenichium.com SMTP使ってますか? 3

  4. © 2025 kenichium.com SMTP(Simple Mail Transfer Protocol) インターネット上で電子メールの送受信を行うためのプロトコル 4

  5. © 2025 kenichium.com セキュリティ対策の一部 SPF/DKIM/DMARC ➢ SPF(Sender Policy Framework) ◦

    送信元ドメインを検証 ➢ DKIM(Domain Keys Identified Mail) ◦ メール改ざんを検証 ➢ DMARC(Domain-based Message Authentication, Reporting, and Conformance) ◦ SPF, DKIMを利用して認 証時のポリシーを設定 5

  6. © 2025 kenichium.com 待ちに待ったアップデート TLSAレコードのサポート開始 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-route-53-https-sshfp-svcb-tlsa-dns-support/ 6

  7. © 2025 kenichium.com DANE(DNS-Based Authentication of Named Entities) DNSを利用してTLSサーバで利用する鍵を指定する仕組み ➢

    DNSSECを利用することでDNS レコードが検証可能 ➢ TLSAレコードに公開鍵情報を登 録することで、TLSで利用する鍵 を指定 ➢ Usage Fieldにて3を設定 ◦ 自己署名証明書も利用可 ◦ PKIX検証をテストしない 7

  8. © 2025 kenichium.com DANE考案の背景 パブリックCAモデルの脆弱性改善策のひとつ 8

  9. © 2025 kenichium.com [再掲]DANE(DNS-Based Authentication of Named Entities) DNSを利用してTLSサーバで利用する鍵を指定する仕組み ➢

    DNSSECを利用することでDNS レコードが検証可能 ➢ TLSAレコードに公開鍵情報を登 録することで、TLSで利用する鍵 を指定 ➢ Usage Fieldにて3を設定 ◦ 自己署名証明書も利用可 ◦ PKIX検証をテストしない 9

  10. © 2025 kenichium.com TLSAレコードの設定 サーバ側の設定を実施 10

  11. © 2025 kenichium.com 課題 クライアント側の対応も必要 ➢ メールの場合、対応するメールサーバが 増えつつある。 ◦ TLSレポートを有効化しておき、メール

    の送信状況を確認してみましょう ➢ ブラウザの場合、ほぼ未対応 ◦ 対応情報があれば共有いただけると 嬉しいです! MTA-STSのTLSレポートの例 11

  12. © 2025 kenichium.com 参考 ➢ The DNS-Based Authentication of Named

    Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA ◦ https://datatracker.ietf.org/doc/html/rfc6698 ➢ Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE) ◦ https://datatracker.ietf.org/doc/html/rfc6394 ➢ The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance ◦ https://datatracker.ietf.org/doc/html/rfc7671 12

  13. © 2025 kenichium.com kenichium.com 13

  14. © 2025 kenichium.com [付録]セキュリティ影響 (鍵漏洩)の比較 パブリックCA(秘密鍵) DNSSEC(DNSKEY) 14