Käyttäjän työkalut

Sivuston työkalut


faq:mikaondane

Sisällysluettelo

Mikä on DANE

Dane (DNS-Based Authentication of Named Entities) on menetelmä, jolla nimipalveluun voidaan tallettaa tietoja eri palvelujen käyttämistä TLS avaimista. IKI:n tapauksessa esim admin.iki.fi julkisen avaimen tiiviste on talletettu nimipalveluun muodossa:

_443._tcp.admin.iki.fi.	IN TLSA	1 1 1 EE91000F6834E1F3FA16AAB32D31A6269BB72527ED8219E7BEB4F4D1AE204E64

Tuossa TLSA nimen perässä olevat numerot kertovat käyttötyypin (1 = kyseessä on oikean CA:n allekirjoittama varmenne, josta on laskettu tiiviste), selectorin (1 = tiiviste lasketaan vain julkisesta avaimesta ei koko varmenteesta, joten varmenne voidaan uusia ilman että tiiviste menee rikki) ja tiivisteen tyyppi (1 = sha-256).

Tällä hetkellä hyvin harva ohjelma vielä katsoo TLSA tietueita, mutta tulevaisuudessa jotkin ohjelmat saattavat tarkistaa TLSA-tietueen ja valittaa, jos joku yrittää päästä IKI:n palvelimien väliin esim hankkimalla virheellisesti laillisen varmenteen admin.iki.fi koneelle ja kaappaamalla yhteyden. Selaimissa DANE-tukea tuskin tullaan näkemään.

Tällä hetkellä tämä saattaa vaikuttaa siihen että jos jossain on käytössä TLS inspectori joka kaappaa kaikki TLS yhteydet, generoi niille uuden valheellisen varmenteen ja toimii hyökkääjänä välissä, niin DANE yhteensopivat ohjelmat alkavat valittaa asiasta.

IKI:n jäsenille on hyödyllistä myös pistää omaan nimipalveluunsa käyttötyypin 2 tai 3 mukaisia TLSA tietueita. Käyttötyyppiä 2 käytetään kun sinulla on oma CA varmenne ja omat palvelimiesi varmenteet on luotu sen alle. Käyttötyyppiä 3 käytetään jos sinulla on varmenne joka on varmennettu itsellään (self-signed).

Mikäli haluat luoda omaan nimipalveluusi omia TLSA tietueita hae verkosta hash-slinger niminen ohjelma ja katso ohjeita http://www.internetsociety.org/deploy360/resources/hashslinger-a-tool-for-creating-tlsa-records-for-dane/ sivulta. Esimerkiksi tuo IKI:n www-serverin TLSA tietue on luotu komennolla:

tlsa --usage 1 --selector 1 --mtype 1 --create --certificate admin-4096-thawte.crt admin.iki.fi

Debianissa hash-slingerin käyttäminen vaatii unboundille avainten hakemisen. Yksi tapa tähän on asentaa unbound-anchor -paketti ja sitten suorittaa se. Jottei asiat olisi niin helppoja, tarvitaan myös dlv-avain. Näiden jälkeen tlsa-utilityn pitäisi toimia ainakin –insecure vivun kanssa.

sudo mkdir /etc/unbound; sudo unbound-anchor
sudo wget -O/etc/unbound/dlv.isc.org.key http://ftp.isc.org/www/dlv/dlv.isc.org.key

Verkosta löytyy työkalu jolla voi tarkistaa että TLSA tietueet ovat kunnossa (vain http) https://check.sidnlabs.nl/dane/

Sähköposti TLSA tietueiden tarkistamiseen löytyy oma palvelunsa https://dane.sys4.de/ tai https://www.huque.com/bin/danecheck

TLSA tietueiden laskemiseen löytyy myös oma palvelunsa https://ssl-tools.net/tlsa-generator

Kannattaa myös huomata että smtp tms käytössä ei kannata käyttää usagea 0 tai 1, vaan pitää käyttää 2:sta tai 3:sta, koska määritelmän mukaan 0 ja 1 ovat web CA hierarkian mukaisia varmenteita.

ldns

Ldnstools osaa myös tarkistaa dane tietueet:

ldns-dane verify kivinen.iki.fi 443
ldns-dane -f /etc/ssl/certs/ca-certificates.crt verify www.iki.fi 443

Postfix

Postfixin uusissa versioissa on posttls-finger joka osaa tarkistaa smtp dane tietueet:

posttls-finger -c -L summary iki.fi
posttls-finger iki.fi
faq/mikaondane.txt · Viimeksi muutettu: 2020-08-19 09:04 / kivinen