Slide 1
Slide 1 text
© 2025 kenichium.com
Amazon Route 53, 待ちに待った
TLSAレコードのサポート開始
中村 健一
kenichium.com
Slide 2
Slide 2 text
© 2025 kenichium.com
© 2025 kenichium.com
自己紹介
中村 健一
Nakamura, Kenichi
➢ AWSを中心に遊んでいます
○ 好きなサービス(2025/1現在)
■ AWS Security Hub
■ AWS Control Tower
➢ スイーツには目がありません
○ 週1回はケーキか何かを食べてます
➢ クラスメソッド株式会社に勤務
○ AWSソリューションアーキテクト
2
Slide 3
Slide 3 text
© 2025 kenichium.com
SMTP使ってますか?
3
Slide 4
Slide 4 text
© 2025 kenichium.com
SMTP(Simple Mail Transfer Protocol)
インターネット上で電子メールの送受信を行うためのプロトコル
4
Slide 5
Slide 5 text
© 2025 kenichium.com
セキュリティ対策の一部
SPF/DKIM/DMARC
➢ SPF(Sender Policy
Framework)
○ 送信元ドメインを検証
➢ DKIM(Domain Keys
Identified Mail)
○ メール改ざんを検証
➢ DMARC(Domain-based
Message Authentication,
Reporting, and Conformance)
○ SPF, DKIMを利用して認
証時のポリシーを設定
5
Slide 6
Slide 6 text
© 2025 kenichium.com
待ちに待ったアップデート
TLSAレコードのサポート開始
https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-route-53-https-sshfp-svcb-tlsa-dns-support/ 6
Slide 7
Slide 7 text
© 2025 kenichium.com
DANE(DNS-Based Authentication of Named Entities)
DNSを利用してTLSサーバで利用する鍵を指定する仕組み
➢ DNSSECを利用することでDNS
レコードが検証可能
➢ TLSAレコードに公開鍵情報を登
録することで、TLSで利用する鍵
を指定
➢ Usage Fieldにて3を設定
○ 自己署名証明書も利用可
○ PKIX検証をテストしない
7
Slide 8
Slide 8 text
© 2025 kenichium.com
DANE考案の背景
パブリックCAモデルの脆弱性改善策のひとつ
8
Slide 9
Slide 9 text
© 2025 kenichium.com
[再掲]DANE(DNS-Based Authentication of Named Entities)
DNSを利用してTLSサーバで利用する鍵を指定する仕組み
➢ DNSSECを利用することでDNS
レコードが検証可能
➢ TLSAレコードに公開鍵情報を登
録することで、TLSで利用する鍵
を指定
➢ Usage Fieldにて3を設定
○ 自己署名証明書も利用可
○ PKIX検証をテストしない
9
Slide 10
Slide 10 text
© 2025 kenichium.com
TLSAレコードの設定
サーバ側の設定を実施
10
Slide 11
Slide 11 text
© 2025 kenichium.com
課題
クライアント側の対応も必要
➢ メールの場合、対応するメールサーバが
増えつつある。
○ TLSレポートを有効化しておき、メール
の送信状況を確認してみましょう
➢ ブラウザの場合、ほぼ未対応
○ 対応情報があれば共有いただけると
嬉しいです!
MTA-STSのTLSレポートの例
11
Slide 12
Slide 12 text
© 2025 kenichium.com
参考
➢ The DNS-Based Authentication of Named Entities (DANE)
Transport Layer Security (TLS) Protocol: TLSA
○ https://datatracker.ietf.org/doc/html/rfc6698
➢ Use Cases and Requirements for DNS-Based Authentication of
Named Entities (DANE)
○ https://datatracker.ietf.org/doc/html/rfc6394
➢ The DNS-Based Authentication of Named Entities (DANE)
Protocol: Updates and Operational Guidance
○ https://datatracker.ietf.org/doc/html/rfc7671
12
Slide 13
Slide 13 text
© 2025 kenichium.com
kenichium.com
13
Slide 14
Slide 14 text
© 2025 kenichium.com
[付録]セキュリティ影響 (鍵漏洩)の比較
パブリックCA(秘密鍵) DNSSEC(DNSKEY)
14