Milline on seos letekrüpteerimise ja DANE TLSA vahel?

Kas krüptimist saab või peaks koos DANE TLSA-ga kasutama?

Kas DANE TLSA on letencrypt [ja mis tahes sertifikaadiasutuse (CA) põhine] täielik asendaja?

Kas letsencrypt kasutatakse koos DANE TLSA-ga, kas saab või peaks kasutama kahte erinevat SSL-sertifikaati?

  • Sellistes küsimustes on kasulik suunata inimesi (või selgitada), mis on DANE. Võib-olla saate mõnele oma küsimusele vastuse siin blog.apnic.net/2017/01/06/lets-encrypt-dane

Milline on seos letekrüpteerimise ja DANE TLSA vahel?

Ükski eriti ja vähemalt mitte midagi muud kui ükski teine ​​CA ja DANE. Mis sa arvad, miks oleks konkreetne suhe?

Kas krüptimist saab või peaks koos DANE TLSA-ga kasutama?

Saate, kuid peaksite, see on palju teine ​​asi ja te ei anna oma olukorra kohta üksikasju, et teada saada, mis oleks parim. Pange tähele, et TLSA kirjeid kasutavad enamasti e-posti süsteemid, brauserid neid eriti ei kasuta.

Kuid vaikimisi certbot kasutab igal sertifikaadi uuendamisel uut avalikku võtit. Krüptograafilise materjali puhul on see hea hügieen, kuid kui kasutate sertifikaati mõnes TLSA see tähendab, et peate neid kirjeid muutma ja hoolikalt, arvestades erinevaid vahemälusid. Alternatiiv on juhendamine certbot või samaväärne sertifikaadi uuendamiseks, kuid kasutage sama avalikku võtit. Ei ole mõistlik aga võtit mitte kunagi muuta.

Pärast seda on teie küsimus jällegi kõigi CA-de jaoks sama, miks valite spetsiaalselt Let's Encrypt?

Kas DANE TLSA on letencrypt [ja mis tahes sertifikaadiasutuse (CA) põhine] täielik asendaja?

Ei või mitte täielikult. Kas lugesite DANE kohta vähemalt mõnda sissejuhatavat materjali?

Kasutusi on mitu:

  • PKIX-TA: avaldate antud teenuse jaoks CA sertifikaadi ja ühendus saab jätkuda ainult siis, kui serveri esitatud sertifikaat on antud antud CA-st.
  • PKIX-EE: avaldate sertifikaadi, mida klient peaks serverist nägema, kuid peab toimuma tavaline PKIX-i valideerimine (sertifikaadil peab olema kehtiv usaldustee kuni juursertifikaadini)
  • DANE-TA: kasutatav sertifikaat on aheldatud siin avaldatuga ja PKIX-i valideerimine pole vajalik (see tähendab, et põhimõtteliselt võib igaüks olla tema enda CA)
  • DANE-EE: sertifikaat on ise allkirjastatud ja avaldatud DNS-is, seda peaks ühenduse loomisel nägema.

Lisaks ülaltoodule saate avaldada kas sertifikaadi või avaliku võtme ja sertifikaati tehes võib see olla sertifikaat ise või sõrmejälg.

See kõik on üksikasjalik DANE-i Wikipedia kirjes, peaksite seda vaatama.

Kas letsencrypt kasutatakse koos DANE TLSA-ga, kas saab või peaks kasutama kahte erinevat SSL-sertifikaati?

Esiteks ärge öelge "SSL-i sertifikaadid", kuna see on topelt vale:

  1. SSL suri 20 aastat tagasi, sest 1999. aastal leiutati TLS ja see on selle järeltulija. Ükski terve mõistusega inimene ei kasutaks täna ikkagi SSL-i versioone ...
  2. TLS-i saab kasutada ilma sertifikaatideta (TLS töötab hästi ka jagatud võtmega) ja neid saab kasutada ka väljaspool TLS-i (nt: S / MIME)

Nii et teil on tegemist "X.509 sertifikaatidega", kui soovite olla täpne, kuid muidu piisab selles kontekstis sertifikaadist, kõik saavad aru, millistest sertifikaatidest te räägite.

Miks nüüd 2 sertifikaati? Rakendusega Let's Encrypt saate soovi korral genereerida nii palju kui soovite (kuni jõuate nende kiirusepiiranguteni) ja teil võib olla mitu TLSA arvestust.

Seega võite soovi korral omada kahte sertifikaati. Või 1. Või 3. Või 10. "See sõltub". Teie küsimused selles etapis on liiga ebamäärased / üldised. Kust nad selle kuju saavad?

PS1: peaksite ka vaatama CAA dokumente, kui olete tõsiselt oma sertifikaatide käsitsemisel. Kõik teadaolevad avalikud CA-d peavad neid kasutama ja seega saate piirata, milline CA saab teie hallatavate domeenide jaoks sertifikaate väljastada.

PS2: ja muidugi, kui olete tõsiselt tõsine, kui kasutate TLSA või CAA kirjeid, peate kasutama DNSSEC-i.

  • No, or not fully. Did you read at least some introductory material on DANE? Jah, aga mulle tundus seda kasutades DANE-EE (the certificate is self signed and published in the DNS, it should be the one seeing when connecting.), s.t kasutades oma TLS-i sertifikaati, millele on alla kirjutanud DNSSEC, "rohkem otsast lõpuni", miks hoida keskmist meest (CA)? you should also look at CAA records if you are serious about handling your certificates. Sain seda juba. Sama nagu eespool. "DNSCRYPT-to-end" allkirjastatud sertifikaatidega ei teaks ma, miks CA-d säilitada.
  • Miks peaks säilitama mõlemad sertifikaadid (CA ja TLSA)? Noh, ma olen näinud selliseid ekraanipilte nagu see. Põhimõtteliselt öeldes: "Kaugserveri sertifikaat, DNS, TLSA, DNSSEC on kõik head. Kuid kõik, mida ma nägin, kes varem blogisid TLSA lubamise kohta oma domeenis, annavad Firefoxi tulemuse Firefox saying: Verified by: Let's Encrypt. Samal ajal ütlevad veebipõhised TLSA kontrollivahendid, et nende TLSA rekord on endiselt hea. Seetõttu mõtlesin TLSA staatuse üle. Kui brauseri tugi (Firefox) eemaldati.
  • Miks ma küsisin spetsiaalselt laseme krüpteerida CA-d? Sest 1) ma juba kasutan seda CA-d. 2) on palju pikki ajaveebipostitusi, mis käsitlevad CA-de krüptimist koos TLSA-ga, nagu see, ja palju pikki, väga tehnilisi lubab krüptida foorumiarutelusid.
  • Note that TLSA records are mostly used by email systems currently, not very much by browsers. Oled sa kindel? Alates 2013. aastast on TLSA ekraanipildid Firefoxi, Chrome'i ja Internet Exploreri jaoks. Isegi kui need on alfa / beeta ekraanipildid, eeldan, et see funktsioon peaks olema nüüd 7 aastat hiljem stabiilne. Võib-olla kuvatakse brauseri TLSA teadet ainult siis, kui server kasutab ainult TLSA-d ja tal pole CA-d konfigureeritud?
  • "on palju pikki blogipostitusi CA-de krüptimise kohta koos TLSA-ga", sest Let's Encrypt pole ainus, vaid ACME-protokolli kasutav tuntuim CA, mis võimaldab täielikult automatiseeritud sertifikaatide väljaandmist ja uuendamist.

none: Charles Robertson | none