从我的理解DNSSEC允许我创build一个公钥并签署我的DNSlogging。 似乎有多种方法可以获得证书logging(如DANE,请参阅https://wiki.mozilla.org/Security/DNSSEC-TLS-details#Embedding_Certificate_Information_in_DNS )
我不确定这是如何工作的。 我猜这些步骤。 它是否正确?
我觉得我有什么问题,Mozilla链接提到并不是所有的logging都会被支持,所以现在支持很多(比如firefox,chrome,IOS和android)以及我用什么logging来描述? DANE? CAA?
DNSSEC和DANE是独立的东西,但DNSSEC是使用DANE的先决条件。
DNSSEC专门允许validation收到的DNS数据是否真实,仅此而已。
使用DNSSEC将意味着生成DNSSEC密钥,对您的区域进行签名(这将导致将公钥发布为DNSKEYlogging,根据您的实际区域数据添加RRSIG / NSEC / NSEC3logging等),从而使代表团签署注册商添加一个DSlogging(标识您在委派区域发布的有效密钥)以及正常的NS / gluelogging。
使用DANE本质上归结为在DNSSEC签名的区域添加如下的TLSAlogging:
_443._tcp.example.com. IN TLSA tlsa-parameters-identifying-the-valid-certificate
(你可能希望使用hash- tlsa (1)来产生这个logging)
DANE-aware HTTPS客户端(在这个例子中)然后知道他们连接到example.com上的端口443 / tcp,然后查找_443._tcp.example.com. IN TLSA _443._tcp.example.com. IN TLSA ,validationDNS数据的真实性,然后使用该数据validationTLS连接中显示的证书。
您将DNSSEC与HTTP(HTTPS)的TLS相混淆。
DNSSEC只是一种措施,可以确保您的所有用户获得权威的DNSlogging,并且不会以任何方式受到欺骗。 DNSSEC不会encryption连接或帮助您保护stream量。