Käyttäjän työkalut

Sivuston työkalut


faq:mikaondane

Tämä on vanha versio dokumentista!


Mikä on DANE

Dane (DNS-Based Authentication of Named Entities) on menetelmä, jolla nimipalveluun voidaan tallettaa tietoja eri palvelujen käyttämistä TLS avaimista. IKI:n tapauksessa esim admin.iki.fi julkisen avaimen tiiviste on talletettu nimipalveluun muodossa:

_443._tcp.admin.iki.fi.	IN TLSA	1 1 1 EE91000F6834E1F3FA16AAB32D31A6269BB72527ED8219E7BEB4F4D1AE204E64

Tuossa TLSA nimen perässä olevat numerot kertovat käyttötyypin (1 = kyseessä on oikean CA:n allekirjoittama varmenne, josta on laskettu tiiviste), selectorin (1 = tiiviste lasketaan vain julkisesta avaimesta ei koko varmenteesta, joten varmenne voidaan uusia ilman että tiiviste menee rikki) ja tiivisteen tyyppi (1 = sha-256).

Tällä hetkellä hyvin harva ohjelma vielä katsoo TLSA tietueita, mutta tulevaisuudessa luultavasti kaikki selaimet jne alkavat katsoa noita tietueita ja silloin ne valittavat jos joku yrittää päästä IKI:n palvelimien väliin esim hankkimalla virheellisesti laillisen varmenteen admin.iki.fi koneelle ja kaappaamalla yhteyden.

Tällä hetkellä tämä saattaa vaikuttaa siihen että jos jossain on käytössä TLS inspectori joka kaappaa kaikki TLS yhteydet, generoi niille uuden valheellisen varmenteen ja toimii hyökkääjänä välissä, niin DANE yhteensopivat selaimet alkavat valittaa asiasta.

IKI:n jäsenille on hyödyllistä myös pistää omaan nimipalveluunsa käyttötyypin 2 tai 3 mukaisia TLSA tietueita. Käyttötyyppiä 2 käytetään kun sinulla on oma CA varmenne ja omat palvelimiesi varmenteet on luotu sen alle. Käyttötyyppiä 3 käytetään jos sinulla on varmenne joka on varmennettu itsellään (self-signed).

Mikäli haluat luoda omaan nimipalveluusi omia TLSA tietueita hae verkosta hash-slinger niminen ohjelma ja katso ohjeita http://www.internetsociety.org/deploy360/resources/hashslinger-a-tool-for-creating-tlsa-records-for-dane/ sivulta.

Verkosta löytyy työkalu jolla voi tarkistaa että TLSA tietueet ovat kunnossa (vain http) https://check.sidnlabs.nl/dane/

faq/mikaondane.1394548251.txt · Viimeksi muutettu: 2014-03-11 14:30 / kivinen