Каква е връзката между letsencrypt и DANE TLSA?

Може или трябва letsencrypt да се използва заедно с DANE TLSA?

Пълният заместител на DANE TLSA за letsencrypt [и за всеки сертифициращ орган (CA)]?

Когато letsencrypt се използва заедно с DANE TLSA, може ли или трябва да се използват два различни SSL сертификата?

  • В поредица от въпроси като този е полезно да насочвате хората към (или да обяснявате) какво е DANE. Може би ще имате отговори на някои от вашите въпроси тук blog.apnic.net/2017/01/06/lets-encrypt-dane

Каква е връзката между letsencrypt и DANE TLSA?

Никой по-специално и поне нищо различно от всеки друг CA и DANE. Защо смятате, че би имало конкретна връзка?

Може или трябва letsencrypt да се използва заедно с DANE TLSA?

Можете, но ако трябва, това е много друг въпрос и не посочвате подробности за вашата ситуация, за да разберете какво би било най-добре. Отбележи, че TLSA записите се използват предимно от имейл системите в момента, не много от браузърите.

По подразбиране обаче certbot използва нов публичен ключ при всяко подновяване на сертификата. Това е добра хигиена за криптографски материали, но ако използвате сертификата в някои TLSA записи означава, че ще трябва да ги промените и внимателно, като се вземат предвид различни кешове. Алтернативата е да инструктирате certbot или еквивалент, за подновяване на сертификата, но използвайте същия публичен ключ. Няма да е разумно обаче никога да не сменяте ключа.

След това отново вашият въпрос е един и същ за всеки CA, защо конкретно избирате Let's Encrypt?

Пълният заместител на DANE TLSA за letsencrypt [и за всеки сертифициращ орган (CA)]?

Не, или не напълно. Прочетохте ли поне малко уводен материал за DANE?

Има множество употреби:

  • PKIX-TA: публикувате CA сертификата за дадена услуга и връзката може да продължи само ако сертификатът, представен от сървъра, е от този даден CA.
  • PKIX-EE: публикувате сертификата, който се очаква клиентът да види от сървъра, но трябва да се извърши обичайно проверяване на PKIX (сертификатът трябва да има валиден път на доверие до корен сертификат)
  • DANE-TA: сертификатът, който ще се използва, е обвързан с този, публикуван тук, и не е необходимо проверяване на PKIX (това означава, че всеки може да бъде свой собствен CA)
  • DANE-EE: сертификатът е самоподписан и публикуван в DNS, той трябва да се вижда при свързване.

На всичко отгоре можете да публикувате или сертификата, или публичния ключ, а когато го направите, това може да бъде самият сертификат или пръстов отпечатък.

Всичко това е подробно описано в записа в Уикипедия на DANE, трябва да го разгледате.

Когато letsencrypt се използва заедно с DANE TLSA, може ли или трябва да се използват два различни SSL сертификата?

Първо, не казвайте „SSL сертификати“, тъй като това е двойно погрешно:

  1. SSL умира преди 20 години, защото през 1999 г. е изобретен TLS и той е негов наследник. Никой здравомислещ човек днес не би използвал SSL версии ...
  2. Можете да използвате TLS без сертификати (TLS работи и със споделен ключ) и можете да използвате тези сертификати извън TLS (напр. S / MIME)

Така че имате работа с "X.509 сертификати", ако искате да бъдете точни, но иначе сертификатът е достатъчен в този контекст всички разбират за какъв вид сертификати става дума.

Сега, защо 2 сертификата? С Let's Encrypt можете да генерирате колкото искате, ако искате (докато достигнете техните лимити за скорост) и можете да имате няколко TLSA записи.

Следователно можете да имате 2 сертификата, ако искате. Или 1. Или 3. Или 10. "Зависи". Вашите въпроси на този етап са твърде неясни / общи. Откъде идват, за да имат тази форма?

PS1: трябва също да погледнете CAA записва, ако сериозно се занимавате със сертификатите си. Всички известни публични CA трябва да ги използват и по този начин можете да ограничите кой CA може да доставя сертификати за поддържаните от вас домейни.

PS2: и разбира се, ако сте наистина сериозни, ако използвате TLSA или CAA записи, трябва да използвате DNSSEC.

  • No, or not fully. Did you read at least some introductory material on DANE? Да, но ми се струваше, когато използвах DANE-EE (the certificate is self signed and published in the DNS, it should be the one seeing when connecting.), т.е. използвайки собствен TLS сертификат, подписан от DNSSEC „повече от край до край“, защо да запазите средния човек (CA)? you should also look at CAA records if you are serious about handling your certificates. Разбрах вече. Същото като по-горе. С подписаните сертификати "DNSCRYPT-to-end" не бих знаел защо да запазвам CA.
  • Защо човек би запазил и двата сертификата (CA и TLSA)? Е, виждал съм тези скрийншотове като този. По принцип казвам: "Сертификатът за отдалечен сървър, DNS, TLSA, DNSSEC всичко е добро. Но всичко, което видях, който преди това е писал в блогове за активиране на TLSA за техния домейн, днес води до показване на Firefox Firefox saying: Verified by: Let's Encrypt. В същото време онлайн инструментите за проверка на TLSA казват, че техният TLSA запис все още е добър. Затова се чудех статуса на TLSA. Ако поддръжката на браузъра (Firefox) е била премахната.
  • Защо попитах конкретно за lets encrypt CA? Защото 1) Вече използвам този CA. 2) има много дълги публикации в блога за позволяването на криптиране на CA в комбинация с TLSA като този и много продължителни, изключително технически позволяват криптиране на дискусии във форума.
  • Note that TLSA records are mostly used by email systems currently, not very much by browsers. Сигурен ли си? Има екранни снимки на TLSA от 2013 г. за Firefox, Chrome и Internet Explorer. Дори ако това са алфа / бета скрийншотове, предполагам, че тази функция трябва да бъде стабилна 7 години по-късно със сигурност. Може би съобщението на браузъра TLSA се показва само когато сървър използва само TLSA и няма конфигуриран CA?
  • „има много дълги публикации в блога за позволяването на криптиране на CA в комбинация с TLSA“ Защото Let's Encrypt не е единственият, а най-известният CA, използващ протокола ACME, който позволява напълно автоматизирано издаване и подновяване на сертификати.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?