本主题介绍有关 DANE 和 TLSA 记录的概念信息,包括在 Address Manager 中配置 TLSA 记录的任务。
基于 DNS 的命名实体认证 (DANE) 是一种允许使用 DNSSEC 将通常用于传输层安全性 (TLS) 的 X.509 证书绑定到 DNS 名称的协议。DANE 推出的 TLSA 记录为认证 SSL/TLS 证书提供了一种更安全的方式。
TLS 在提供认证和加密的同时,仅在证书正确锚定时才有效。来自证书颁发机构 (CA) 的根证书 — 信任锚可能会被欺骗。通过使用由 DNSSEC 验证的 TLSA 记录来验证证书是否有效,DANE 便能够解决此问题。TLSA 记录还可以指定证书或 CA 可以在 DNS 本身进行认证。
DANE 支持 HTTPS、SMTP、XMPP 和 SIP 协议。
- DANE 支持证书和原始密钥
- 密钥(原始或嵌入证书)可以是完整密钥或密钥哈希
- DANE 为电子邮件通信提供端到端的 SMTP 安全性
注: DANE 首先在 RFC 6698 中提出,然后在 RFC 7671 中更新了操作和部署指南。有关详情,请参阅DNS/DHCP 服务器 RFC 合规性。