Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 270

DANE

DANE とは何ですか?

DANERFC 6698 で定義されるプロトコル群。DNSSEC で署名された TLSA レコードによって TLS サーバ証明書や公開鍵をサービスに紐付け、公的 CA への依存を軽減する。

DANE (DNS-Based Authentication of Named Entities) は RFC 6698 で規定され、SMTP 向けには RFC 7672 が拡張しています。運用者は _25._tcp.mail.example.com のような名前で TLSA レコードを公開し、正規の証明書または公開鍵を指定します。DNSSEC によって伝送中の改ざんを防ぎます。SMTP では、送信側 MTA に対し TLSA が検証できる MX への TLS を強制することで、ダウングレード攻撃や偽証明書を排除します。DANE は HTTPS など他プロトコルでも利用可能ですが、メール領域でもっとも普及しています。DNSSEC を基盤に MTA-STS より強い保証を提供し、両者を併用する運用も多く見られます。実効化には、DNSSEC ゾーンの維持と証明書更新時の TLSA 同期が必要です。

  1. 01

    TLSA レコードを公開し、パートナー MTA が mail.example.com に対し期待する証明書がない場合に配送を拒否するようにする。

  2. 02

    TLSA 3 1 1 で公開鍵をピン留めし、鍵を変えずに証明書をローテーションする。

よくある質問

DANE とは何ですか?

RFC 6698 で定義されるプロトコル群。DNSSEC で署名された TLSA レコードによって TLS サーバ証明書や公開鍵をサービスに紐付け、公的 CA への依存を軽減する。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

DANE とはどういう意味ですか?

RFC 6698 で定義されるプロトコル群。DNSSEC で署名された TLSA レコードによって TLS サーバ証明書や公開鍵をサービスに紐付け、公的 CA への依存を軽減する。

DANE はどのように機能しますか?

DANE (DNS-Based Authentication of Named Entities) は RFC 6698 で規定され、SMTP 向けには RFC 7672 が拡張しています。運用者は _25._tcp.mail.example.com のような名前で TLSA レコードを公開し、正規の証明書または公開鍵を指定します。DNSSEC によって伝送中の改ざんを防ぎます。SMTP では、送信側 MTA に対し TLSA が検証できる MX への TLS を強制することで、ダウングレード攻撃や偽証明書を排除します。DANE は HTTPS など他プロトコルでも利用可能ですが、メール領域でもっとも普及しています。DNSSEC を基盤に MTA-STS より強い保証を提供し、両者を併用する運用も多く見られます。実効化には、DNSSEC ゾーンの維持と証明書更新時の TLSA 同期が必要です。

DANE からどのように防御しますか?

DANE に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

DANE の別名は何ですか?

一般的な別名: DNS ベースの名前付きエンティティ認証。

関連用語