Запись аутентификации TLS (TLSA) используется для связывания сертификата или открытого ключа сервера TLS с доменным именем, в котором находится эта запись. С помощью записи TLSA вы можете хранить отпечаток сертификата TLS/SSL в DNS вашего домена. Эта DNS-запись обеспечивает дополнительный уровень проверки и верификации для TLS-соединений, гарантируя, что пользователи смогут проверить подлинность сервера, к которому они подключаются.
Записи TLSA можно доверять только в том случае, если в вашем домене включен DNSSEC.
Запись TLSA состоит из следующих компонентов:
- Номер порта: Номер порта, к которому прислушивается сервер TLS.
- Протокол: Используемый протокол (UDP, TCP, SCTP).
- Имя хоста: имя хоста сервера TLS. В большинстве случаев запись TLSA применяется для конкретного имени хоста домена.
Запись TLSA имеет следующий вид
Хост | Тип записи | Указывает на: |
_port._protocol.host.domain.com | TLSA | 0 0 0 00000000000000000000000 |
Зачем вам нужна запись TLSA?
Использование записей TLSA чаще всего связано с протоколом безопасности DANE. В настоящее время, когда DNSSEC перестал быть экзотикой, на смену ему приходит новый протокол DANE (DNS-Based Authentication of Named Entities). DANE дает вам возможность сделать структуру DNS более безопасной. Ресурсная запись TLSA позволяет пользователям проверять сертификат, полученный от веб-сайта, запрашивая информацию о нем в DNS.
Как создать запись DNS TLSA?
Перейдите на страницу управления зоной DNS и нажмите кнопку Добавить новую запись. Для параметра Тип выберите TLSA и введите следующий текст:
- Тип: TLSA
- TTL: 1 час
- Хост: _порт._протокол, например: _100._tcp*
- Использование: (От 0 до 3) Указывает предоставленную ассоциацию, которая будет использоваться для соответствия сертификату, представленному в рукопожатии TLS.
- Selector: (От 0 до 1) Указывает, какая часть сертификата TLS, представленного сервером, будет сопоставлена с данными ассоциации.
- Matching-Type: (От 0 до 2) Указывает, как будет представлена ассоциация сертификатов.
- Указывает на: Хеш-значение.
Как проверить запись TLSA?
В Windows тип записи TLSA нельзя легко проверить, поскольку ни Nslookup, ни Powershell's Resolve-DnsName не поддерживают его.
Тем не менее, у вас есть возможность установить WSL (Windows Subsystem for Linux), а затем следовать инструкциям для Linux/macOS, приведенным ниже, или использовать онлайн-инструмент поиска, например ClouDNS Free DNS tool, чтобы проверить запись TLSA.
Если вы пользователь Linux/macOS, вы можете открыть терминал и проверить запись TLSA через DIG. Вот пример:
1 | dig example.com TLSA |
После этого появится информация о записях TLSA.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
Могу ли я использовать записи TLSA, если в моем домене отключен DNSSEC?
Ответ: Сертификат соответствует TLSA по технологии DNSSEC. В случае, если DNSSEC вашего домена отключен, то проверка TLSA будет невозможна.
Как часто следует обновлять записи TLSA?
Ответ: Записи TLSA следует обновлять при каждом изменении сертификата TLS. К ним относятся обновление, замена или изменение алгоритмов хэширования или типов соответствия. Вы можете следить за своим сертификатом TLS с помощью проверки мониторинга SSL/TLS.
Заменяют ли записи TLSA традиционные методы проверки сертификатов?
Ответ: Записи TLSA не заменяют традиционные методы проверки сертификатов, но обеспечивают дополнительный уровень проверки. Они дополняют существующие методы и укрепляют общую безопасность TLS-соединений.
Можно ли использовать несколько записей TLSA для одного домена?
Ответ: Да, для одного домена можно использовать несколько записей TLSA. Это позволяет более гибко подходить к проверке сертификатов, например, использовать разные алгоритмы хэширования или несколько сертификатов для разных целей.