Käyttäjän työkalut

Sivuston työkalut


faq:mikaondane

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revisionEdellinen revisio
Seuraava revisioBoth sides next revision
faq:mikaondane [2016-03-30 11:02] – Muutetaan väite DANEsta ja selaimista paremmin nykynäköalojen mukaiseksi. hsivonenfaq:mikaondane [2016-09-08 12:34] – [Mikä on DANE] kivinen
Rivi 1: Rivi 1:
 +====== Mikä on DANE ======
  
 +Dane (DNS-Based Authentication of Named Entities) on menetelmä, jolla nimipalveluun voidaan tallettaa tietoja eri palvelujen käyttämistä TLS avaimista. IKI:n tapauksessa esim admin.iki.fi julkisen avaimen tiiviste on talletettu nimipalveluun muodossa:
 +
 +<code>
 +_443._tcp.admin.iki.fi. IN TLSA 1 1 1 EE91000F6834E1F3FA16AAB32D31A6269BB72527ED8219E7BEB4F4D1AE204E64
 +</code>
 +
 +Tuossa TLSA nimen perässä olevat numerot kertovat käyttötyypin (1 = kyseessä on oikean CA:n allekirjoittama varmenne, josta on laskettu tiiviste), selectorin (1 = tiiviste lasketaan vain julkisesta avaimesta ei koko varmenteesta, joten varmenne voidaan uusia ilman että tiiviste menee rikki) ja tiivisteen tyyppi (1 = sha-256).
 +
 +Tällä hetkellä hyvin harva ohjelma vielä katsoo TLSA tietueita, mutta tulevaisuudessa jotkin ohjelmat saattavat tarkistaa TLSA-tietueen ja valittaa, jos joku yrittää päästä IKI:n palvelimien väliin esim hankkimalla virheellisesti laillisen varmenteen admin.iki.fi koneelle ja kaappaamalla yhteyden. [[https://www.imperialviolet.org/2015/01/17/notdane.html|Selaimissa DANE-tukea tuskin tullaan näkemään.]]
 +
 +Tällä hetkellä tämä saattaa vaikuttaa siihen että jos jossain on käytössä TLS inspectori joka kaappaa kaikki TLS yhteydet, generoi niille uuden valheellisen varmenteen ja toimii hyökkääjänä välissä, niin DANE yhteensopivat ohjelmat alkavat valittaa asiasta.
 +
 +IKI:n jäsenille on hyödyllistä myös pistää omaan nimipalveluunsa käyttötyypin 2 tai 3 mukaisia TLSA tietueita. Käyttötyyppiä 2 käytetään kun sinulla on oma CA varmenne ja omat palvelimiesi varmenteet on luotu sen alle. Käyttötyyppiä 3 käytetään jos sinulla on varmenne joka on varmennettu itsellään (self-signed). 
 +
 +Mikäli haluat luoda omaan nimipalveluusi omia TLSA tietueita hae verkosta hash-slinger niminen ohjelma ja katso ohjeita http://www.internetsociety.org/deploy360/resources/hashslinger-a-tool-for-creating-tlsa-records-for-dane/ sivulta. Esimerkiksi tuo IKI:n www-serverin TLSA tietue on luotu komennolla:
 +
 +<code>
 +tlsa --usage 1 --selector 1 --mtype 1 --create --certificate admin-4096-thawte.crt admin.iki.fi
 +</code>
 +
 +Debianissa hash-slingerin käyttäminen vaatii unboundille avainten hakemisen. Yksi tapa tähän on asentaa unbound-anchor -paketti ja sitten suorittaa se. Jottei asiat olisi niin helppoja, tarvitaan myös dlv-avain. Näiden jälkeen tlsa-utilityn pitäisi toimia ainakin --insecure vivun kanssa.
 +<code>sudo mkdir /etc/unbound; sudo unbound-anchor
 +sudo wget -O/etc/unbound/dlv.isc.org.key http://ftp.isc.org/www/dlv/dlv.isc.org.key</code>
 +
 +Verkosta löytyy työkalu jolla voi tarkistaa että TLSA tietueet ovat kunnossa (vain http) https://check.sidnlabs.nl/dane/
 +
 +Sähköposti TLSA tietueiden tarkistamiseen löytyy oma palvelunsa https://dane.sys4.de/
 +
 +====== ldns ======
 +
 +Ldnstools osaa myös tarkistaa dane tietueet:
 +
 +<code>
 +ldns-dane verify kivinen.iki.fi 443
 +ldns-dane -f /etc/ssl/certs/ca-certificates.crt verify www.iki.fi 443
 +</code>
 +
 +====== Postfix ======
 +
 +Postfixin uusissa versioissa on posttls-finger joka osaa tarkistaa smtp dane tietueet:
 +
 +<code>
 +posttls-finger -c -L summary iki.fi
 +posttls-finger iki.fi
 +</code>
faq/mikaondane.txt · Viimeksi muutettu: 2020-08-19 09:04 / kivinen