Qual é a relação entre letsencrypt e DANE TLSA?

O letsencrypt pode ou deve ser usado junto com DANE TLSA?

O DANE TLSA é um substituto completo para o letsencrypt [e qualquer autoridade de certificação (CA) baseada]?

Quando o letsencrypt é usado junto com DANE TLSA, podem ou devem ser usados ​​dois certificados SSL diferentes?

  • Em uma série de perguntas como esta, é útil encaminhar as pessoas (ou explicar) o que é DANE. Talvez você tenha algumas de suas perguntas respondidas aqui blog.apnic.net/2017/01/06/lets-encrypt-dane

Qual é a relação entre letsencrypt e DANE TLSA?

Nenhum em particular, e pelo menos nada diferente de qualquer outro CA e DANE. Por que você acha que haveria um relacionamento específico?

O letsencrypt pode ou deve ser usado junto com DANE TLSA?

Você pode, mas deveria, isso é muito outro assunto, e você não está dando detalhes sobre sua situação para saber o que seria melhor. Observe que TLSA os registros são usados ​​principalmente por sistemas de e-mail atualmente, não muito pelos navegadores.

No entanto, por padrão, certbot usa uma nova chave pública a cada renovação de certificado. Esta é uma boa higiene para material criptográfico, no entanto, se você usar o certificado em alguns TLSA registros significa que você precisará alterar esses registros, e com cuidado, considerando vários caches. A alternativa é instruir certbot ou equivalente, para renovar o certificado, mas usar a mesma chave pública. Não será sensato, entretanto, nunca mudar a chave.

Depois disso, novamente, sua pergunta é a mesma para qualquer CA, por que você escolheu especificamente Let's Encrypt?

O DANE TLSA é um substituto completo para o letsencrypt [e qualquer autoridade de certificação (CA) baseada]?

Não, ou não totalmente. Você leu pelo menos algum material introdutório ao DANE?

Existem vários usos:

  • PKIX-TA: você publica o certificado CA para um determinado serviço e a conexão pode prosseguir somente se o certificado apresentado pelo servidor for deste CA fornecido.
  • PKIX-EE: você publica o certificado que o cliente deve ver do servidor, mas a validação usual de PKIX deve ocorrer (o certificado precisa ter um caminho de confiança válido até um certificado raiz)
  • DANE-TA: o certificado que será usado está encadeado ao publicado aqui, e nenhuma validação de PKIX é necessária (isso significa que basicamente qualquer um pode ser seu próprio CA)
  • DANE-EE: o certificado é autoassinado e publicado no DNS, deve ser aquele que vê ao conectar.

Além do acima exposto, você pode publicar o certificado ou a chave pública e, ao fazer o certificado, pode ser o próprio certificado ou uma impressão digital.

Tudo isso está detalhado na entrada da Wikipedia no DANE, você deveria dar uma olhada.

Quando o letsencrypt é usado junto com DANE TLSA, podem ou devem ser usados ​​dois certificados SSL diferentes?

Primeiro, não diga "certificados SSL", pois isso é duplamente errado:

  1. O SSL morreu há 20 anos porque em 1999 o TLS foi inventado e é seu sucessor. Nenhuma pessoa sã ainda hoje rodaria versões SSL ...
  2. Você pode usar o TLS sem certificados (o TLS também funciona com uma chave compartilhada) e pode usar esses certificados fora do TLS (por exemplo: S / MIME)

Portanto, você está lidando com "certificados X.509" se quiser ser mais preciso, mas, caso contrário, certificado é o suficiente neste contexto, todos entendem de que tipo de certificado você está falando.

Agora, por que 2 certificados? Com o Let's Encrypt, você pode gerar quantos quiser se quiser (até atingir seus limites de taxa) e pode ter vários TLSA registros.

Portanto, você pode ter 2 certificados, se quiser. Ou 1. Ou 3. Ou 10. "Depende". Suas perguntas neste estágio são muito vagas / genéricas. De onde eles vêm para ter essa forma?

PS1: você também deve olhar CAA registros se você leva a sério o manuseio de seus certificados. Todas as CAs públicas conhecidas precisam usá-los e, portanto, você pode restringir qual CA pode entregar certificados para os domínios que você mantém.

PS2: e claro, se você for realmente sério, se usar TLSA ou CAA registros, você precisa usar DNSSEC.

  • No, or not fully. Did you read at least some introductory material on DANE? Sim, mas pareceu-me ao usar DANE-EE (the certificate is self signed and published in the DNS, it should be the one seeing when connecting.), ou seja, usando o próprio certificado TLS assinado pelo DNSSEC "mais ponta a ponta", por que manter o intermediário (CA)? you should also look at CAA records if you are serious about handling your certificates. Já entendi. O mesmo que acima. Com certificados assinados "DNSCRYPT-to-end", não sei por que manter o CA.
  • Por que manter os dois certificados (CA e TLSA)? Bem, eu vi essas imagens como esta. Basicamente dizendo "O certificado do servidor remoto, DNS, TLSA, DNSSEC está tudo bem. Mas tudo o que eu vi que anteriormente blogou sobre como ativar o TLSA para seu domínio hoje em dia resulta para o Firefox mostrar Firefox saying: Verified by: Let's Encrypt. Ao mesmo tempo, as ferramentas de verificação TLSA online dizem que seu registro TLSA ainda é bom. Portanto, eu me perguntei o status do TLSA. Se o suporte do navegador (Firefox) foi removido.
  • Por que perguntei especificamente sobre o permite criptografar a CA? Porque 1) Eu já estou usando esse CA. 2) há muitas postagens de blog sobre permite criptografar CA em combinação com TLSA como este e muitas permite criptografar discussões de fórum extensas e altamente técnicas.
  • Note that TLSA records are mostly used by email systems currently, not very much by browsers. Você tem certeza? Existem capturas de tela do TLSA de 2013 para Firefox, Chrome e Internet Explorer. Mesmo que estas fossem capturas de tela alfa / beta, presumo que esse recurso deva estar agora 7 anos depois estável, com certeza. Talvez a mensagem do navegador TLSA seja exibida apenas quando um servidor estiver usando apenas TLSA e não tiver um CA configurado?
  • "há muitas postagens de blog sobre permite criptografar CA em combinação com TLSA" Porque Let's Encrypt não é o único, mas o CA mais conhecido usando o protocolo ACME que permite a emissão e renovação de certificados totalmente automatizados.

funcionou para você: Charles Robertson | Quer entrar em contato conosco?