DANE
DANE (基于 DNS 的命名实体验证) 是一种协议,它允许将通常用于 传输层安全性协议 (TLS) 的 X.509 证书,通过 域名系统安全扩展 (DNSSEC) 绑定到 DNS 名称,从而替代(或补充)预定义的 证书颁发机构 (CA) 列表。
警告 本文并非简单的入门指南。请确保您清楚自己的操作。在进一步操作前,请阅读 常见错误。
TLSA 资源记录
TLSA 资源记录是一种特殊的 DNS 记录类型。它由被其保护的服务端口号和协议组成。一个基于 tcp 的 25 端口示例记录可能如下所示:_25._tcp.example.com IN TLSA 3 0 1 $DATA。TLSA 参数 3 0 1 解释了随后的数据。第一个数字是“证书用途字段”(Certificate Usage Field),第二个是“选择器字段”(Selector Field),第三个名为“匹配类型字段”(Matching Type Field)。
| 值 | 名称 | 描述 |
|---|---|---|
| 0 | PKIX 信任锚点 | 哈希包含一个来自 x509 树的公共 CA,您的证书必须由其签名 |
| 1 | PKIX 终端实体 | 哈希包含您的证书,且该证书必须通过 x509 验证 |
| 2 | DANE 信任锚点 | 哈希包含一个私有 CA(x509 树未知),您的证书必须由其签名 |
| 3 | DANE 终端实体 | 哈希包含您的证书,且不对其进行任何其他验证匹配 |
注意 证书用途 0 和 1 不允许用于电子邮件服务器(端口 25)。详情请参阅 RFC 7672 3.1.3。
| 值 | 名称 | 描述 |
|---|---|---|
| 0 | cert | DATA 基于完整证书 |
| 1 | SPKI | DATA 仅基于公钥 |
| 值 | 名称 | 描述 |
|---|---|---|
| 0 | Full (完整) | DATA 是完整的证书或 SPKI |
| 1 | sha256 | DATA 是证书或 SPKI 的 sha256 哈希 |
| 2 | sha512 | DATA 是证书或 SPKI 的 sha512 哈希 |
该 RR 也可以使用 ldns-dane(1) (来自 ldns) 轻松生成。
SSHFP 资源记录
请参阅 OpenSSH#SSHFP record。
支持 DANE 的软件
- Postfix
- Exim > 4.85
- Prosody (通过 prosody-mod-s2s-auth-daneAUR)