Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon Route 53, 待ちに待った TLSAレコードのサポート開始

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for KenichiNakamura KenichiNakamura
January 19, 2025
Technology
0
490

Amazon Route 53, 待ちに待った TLSAレコードのサポート開始

Avatar for KenichiNakamura

KenichiNakamura

January 19, 2025
Tweet

More Decks by KenichiNakamura

See All by KenichiNakamura
ゼロからはじめる生成AI〜AWS認定とハンズオンで学ぶ初心者の道〜
Avatar for KenichiNakamura kenichinakamura
0
750

Other Decks in Technology

See All in Technology
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
1
390
Deno・Bunの標準機能やElysiaJSを使ったWebSocketサーバー実装 / ラーメン屋を貸し切ってLT会! IoTLT 2026新年会
Avatar for you(@youtoy) you
PRO
0
210
IaaS/SaaS管理における SREの実践 - SRE Kaigi 2026
Avatar for Shun bbqallstars
3
1.1k
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
2
160
usermode linux without MMU - fosdem2026 kernel devroom
Avatar for Hajime Tazaki thehajime
0
160
2026年はチャンキングを極める!
Avatar for shibuiwilliam shibuiwilliam
8
1.8k
セキュリティについて学ぶ会 / 2026 01 25 Takamatsu WordPress Meetup
Avatar for Rocket Martue rocketmartue
1
210
Regional_NAT_Gatewayについて_basicとの違い_試した内容スケールアウト_インについて_IPv6_dual_networkでの使い分けなど.pdf
Avatar for clouddev-code cloudevcode
1
210
システムのアラート調査をサポートするAI Agentの紹介/Introduction to an AI Agent for System Alert Investigation
Avatar for SadayoshiTada taddy_919
2
1.3k
20260129_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
1
250
SMTP完全に理解した ✉️
Avatar for yamatai12 yamatai1212
0
160
みんなだいすきALB、NLBの 仕組みから最新機能まで総おさらい / Mastering ALB & NLB: Internal Mechanics and Latest Innovations
Avatar for 株式会社カミナシ kaminashi
0
170

Featured

See All Featured
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.9k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
320
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.2k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
240
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
370
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.1k

Transcript

  1. © 2025 kenichium.com Amazon Route 53, 待ちに待った TLSAレコードのサポート開始 中村 健一

    kenichium.com

  2. © 2025 kenichium.com © 2025 kenichium.com 自己紹介 中村 健一 Nakamura, Kenichi

    ➢ AWSを中心に遊んでいます ◦ 好きなサービス(2025/1現在) ▪ AWS Security Hub ▪ AWS Control Tower ➢ スイーツには目がありません ◦ 週1回はケーキか何かを食べてます ➢ クラスメソッド株式会社に勤務 ◦ AWSソリューションアーキテクト 2

  3. © 2025 kenichium.com SMTP使ってますか? 3

  4. © 2025 kenichium.com SMTP(Simple Mail Transfer Protocol) インターネット上で電子メールの送受信を行うためのプロトコル 4

  5. © 2025 kenichium.com セキュリティ対策の一部 SPF/DKIM/DMARC ➢ SPF(Sender Policy Framework) ◦

    送信元ドメインを検証 ➢ DKIM(Domain Keys Identified Mail) ◦ メール改ざんを検証 ➢ DMARC(Domain-based Message Authentication, Reporting, and Conformance) ◦ SPF, DKIMを利用して認 証時のポリシーを設定 5

  6. © 2025 kenichium.com 待ちに待ったアップデート TLSAレコードのサポート開始 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-route-53-https-sshfp-svcb-tlsa-dns-support/ 6

  7. © 2025 kenichium.com DANE(DNS-Based Authentication of Named Entities) DNSを利用してTLSサーバで利用する鍵を指定する仕組み ➢

    DNSSECを利用することでDNS レコードが検証可能 ➢ TLSAレコードに公開鍵情報を登 録することで、TLSで利用する鍵 を指定 ➢ Usage Fieldにて3を設定 ◦ 自己署名証明書も利用可 ◦ PKIX検証をテストしない 7

  8. © 2025 kenichium.com DANE考案の背景 パブリックCAモデルの脆弱性改善策のひとつ 8

  9. © 2025 kenichium.com [再掲]DANE(DNS-Based Authentication of Named Entities) DNSを利用してTLSサーバで利用する鍵を指定する仕組み ➢

    DNSSECを利用することでDNS レコードが検証可能 ➢ TLSAレコードに公開鍵情報を登 録することで、TLSで利用する鍵 を指定 ➢ Usage Fieldにて3を設定 ◦ 自己署名証明書も利用可 ◦ PKIX検証をテストしない 9

  10. © 2025 kenichium.com TLSAレコードの設定 サーバ側の設定を実施 10

  11. © 2025 kenichium.com 課題 クライアント側の対応も必要 ➢ メールの場合、対応するメールサーバが 増えつつある。 ◦ TLSレポートを有効化しておき、メール

    の送信状況を確認してみましょう ➢ ブラウザの場合、ほぼ未対応 ◦ 対応情報があれば共有いただけると 嬉しいです! MTA-STSのTLSレポートの例 11

  12. © 2025 kenichium.com 参考 ➢ The DNS-Based Authentication of Named

    Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA ◦ https://datatracker.ietf.org/doc/html/rfc6698 ➢ Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE) ◦ https://datatracker.ietf.org/doc/html/rfc6394 ➢ The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance ◦ https://datatracker.ietf.org/doc/html/rfc7671 12

  13. © 2025 kenichium.com kenichium.com 13

  14. © 2025 kenichium.com [付録]セキュリティ影響 (鍵漏洩)の比較 パブリックCA(秘密鍵) DNSSEC(DNSKEY) 14