TLSA 记录的概念性概述。
DANE 引入了一个新的 DNS 资源记录 TLSA,由 DNSSEC 进行身份验证,以增强或替换证书颁发机构使用的公共证书。TLSA 记录使用语法 _<portnumber>._<protocol>.<FQDN> 存储为带前缀的 DNS 域名。例如:
_443._tcp.example.comTLSA 记录包含四个字段:一个八位字节证书使用字段,一个八位字节选择器字段,一个八位字节匹配类型字段和证书关联数据。
TLSA 证书使用字段
指示哪个是证书;识别 TLSA 记录在信任链中指向哪个证书。证书使用字段包含值 3、2、1 或 0。
注: 值 4-254 未分配;值 255 供私人使用。
| 值 | 描述 |
|---|---|
| 0 | PKIX-TA:证书颁发机构约束;来自 X.509 树的公共 CA 证书或此类证书的公钥,必须由信任链中的信任锚验证。TLSA 记录指定将为域提供 TLS 证书的 CA. |
| 1 | PKIX-EE:服务证书约束;指向特定的 TLS 证书,但需要从另一个信任锚验证。TLSA 记录指定应该用于域的确切 TLS 证书。证书必须由有效的 CA 颁发。 |
| 2 | DANE-TA:信任锚断言;来自 X.509 树的私钥,必须由信任链中的信任锚验证。TLSA 记录指定用于验证域的 TLS 证书的信任锚。 |
| 3 | DANE-EE:域颁发证书;验证无需 X.509 树、信任锚或信任链。TLS 记录指定应该用于域的确切 TLS 证书,但 TLS 证书不需要由有效 CA 签名,从而允许使用自签名证书。 |
TLSA 选择器字段
指示 TLSA 记录是否与完整或部分密钥匹配。选择器字段包含值 1 或 0。
注: 值 2-254 未分配;值 255 供私人使用。
| 值 | 描述 |
|---|---|
| 0 | 完整证书 |
| 1 | 部分密钥 (SubjectPublicKeyInfo) |
TLSA 匹配类型字段
表示匹配的类型:SHA256、SHA512 或完整。匹配类型字段包含值 2、1 或 0。
注: 值 3-254 未分配;值 255 供私人使用。
| 值 | 描述 |
|---|---|
| 0 | 完整:没有哈希;数据是证书或公钥 |
| 1 | SHA256:数据是证书或公钥的 SHA256 哈希值 |
| 2 | SHA512:数据是证书或公钥的 SHA512 哈希值 |
TLSA 记录示例
域颁发的最终实体证书示例:
_443._tcp.www.example.com.IN TLSA (
3 1 1 ecc104c4fbb06b249d3c7a
68f19cf28a60a9c6814874
ad7efde451688039fe01 )