加密与DANE TLSA兼容吗？

Question

什么是让加密和丹妮TLSA的关系？

是否可以或应该将加密与DANE TLSA一起使用？

DANE是和任何基于证书颁发机构(CA)的完全替代者吗？

当让加密与DANE TLSA一起使用时，可以或者应该使用两个不同的SSL证书吗？

Answer 1

什么是让加密和丹妮TLSA的关系？

没有什么特别的，至少和其他CA和DANE没有什么不同。你为什么认为会有一段特殊的关系？

是否可以或应该将加密与DANE TLSA一起使用？

你可以，但如果你，这是另一件事，你没有提供详细的情况，以知道什么是最好的。请注意，TLSA记录目前主要由电子邮件系统使用，而不是被浏览器使用。

但是，默认情况下，certbot在每次证书更新时都使用一个新的公钥。对于加密材料来说，这是很好的卫生条件，但是，如果在某些TLSA记录中使用证书，则意味着您需要更改这些记录，并仔细考虑各种缓存。另一种方法是指示certbot或等效，更新证书，但使用相同的公钥。然而，永远不改变关键是不明智的。

在此之后，您的问题对于任何CA来说都是一样的，为什么您特别选择让我们加密呢？

DANE是和任何基于证书颁发机构(CA)的完全替代者吗？

不，或者不完全。你至少读过一些关于丹恩的介绍材料吗？

有多种用法：

• PKIX-TA：您为给定的服务发布CA证书，只有当服务器提供的证书来自此给定CA时，才能继续进行连接。
• PKIX-EE：您发布客户机希望从服务器上看到的证书，但是必须进行常规的PKIX验证(证书需要有一个有效的信任路径，直到根证书)。
• DANE-TA：将使用的证书链接到此处发布的证书，不需要PKIX验证(这意味着任何人都可以成为自己的CA)。
• DANE-EE：证书是自签名并在DNS中发布的，它应该是连接时看到的证书。

在上述基础上，您可以发布证书或公钥，并且当您执行证书时，它可以是证书本身或指纹。

这在维基百科的DANE条目中都有详细的内容，你应该看看。

当让加密与DANE TLSA一起使用时，可以或者应该使用两个不同的SSL证书吗？

首先，不要说"SSL证书“，因为这是双重错误的：

1. SSL于20年前去世，因为它是在1999年发明的，是它的继承者。没有理智的人今天还在运行SSL版本..。
2. 您可以使用没有证书的TLS (TLS也可以使用共享密钥)，也可以在TLS之外使用那些证书(例如: S/MIME)。

因此，如果您想要精确地处理"X.509证书“，那么证书就足够了--在这种情况下，每个人都了解您正在讨论的是哪种证书。

为什么是2张证书？通过加密，您可以生成任意数量的TLSA记录(直到达到它们的速率限制)。

因此，如果需要，您可以拥有两个证书。或1、3或10。“视情况而定”。你在这一阶段的问题过于模糊/笼统。这种形状是从哪里来的？

PS1:如果您认真对待证书，也应该查看CAA记录。所有已知的公共CA都必须使用它们，因此您可以限制哪个CA可以为您维护的域传递证书。

PS2:当然，如果您是认真的，如果您使用TLSA或CAA记录，则需要使用DNSSEC。