Рейтинг:1

DANE и TSLA в Cloudflare

флаг ng

кто-нибудь может сказать мне, как настроить DANE и TSLA в Cloudflare? Нужен ли нам Google Cloud DNS для записей TLSA? какой почтовый сервер позволит использовать TLSA на данный момент?

реф ссылка для DANE

флаг cn
Bob
Почтовые серверы, как известно, небрежно относятся к сертификатам TLS и часто и по умолчанию используют любой сертификат TLS, предлагаемый smtp-сервером получателя, без каких-либо проверок. (Потому что, несмотря на плохую практику безопасности, которая обеспечивает большую безопасность транспорта, чем отправка электронной почты в виде открытого текста), поэтому я ожидаю поддержки TLSA и текущего использования почтовых серверов: недостаточно, чтобы быть актуальным (пока?)
CADENTIC avatar
флаг ng
почтовые серверы также не могут шифровать .zip и вложения, поэтому почтовые серверы старого поколения использовали для подавления zip с файлами .exe (включая gmail), и мы использовали для изменения расширений с .txt, и мы могли отправлять файлы .exe тоже, но в настоящее время Google блокирует и такие двоичные файлы, включая файлы js. вопрос как? @Боб
Paul avatar
флаг cn
Связанному обсуждению сообщества Cloudflare исполнилось 5 лет, и оно больше не актуально. С тех пор Cloudflare добавила записи TLSA.
Paul avatar
флаг cn
@Bob Почтовые серверы не «небрежны». Почтовый сервер настраивается администраторами. Администраторы обычно имеют некоторые причины для настройки того, как они настраивают. Требование сертификатов ЦС на серверах-получателях является относительно тривиальной конфигурацией. Причина, по которой этого не делается, заключается в том, что слишком много серверов получателей плохо настроены, что приводит к невозможности доставки почты.То же самое относится и к получению почты, так как многие отправляющие серверы не поддерживают шифрование (по моим наблюдениям чаще всего это касается списков и информационных бюллетеней, что, вероятно, позволяет сэкономить на стоимости ресурсов).
Paul avatar
флаг cn
Шифрование @CADENTIC TLS — это только транспорт, поэтому он будет шифровать все. Проблемы с типами файлов, о которых вы говорите, скорее всего, связаны с защитой от почтовых программ, которая не позволяет пользователям открывать часто зараженные типы файлов.
CADENTIC avatar
флаг ng
шифрование вложения, я думаю, зависит от почтового сервера. фильтрация файлов, скорее всего, является фильтрацией от спама, например. СпамУбийца. поэтому пользователь использовал для изменения zip, exe в текст, и они могли бы отправить их, но в настоящее время Gmail Outlook сканирует и это. не только расширения вложения. @Paul Pot, как они это сделали?
Paul avatar
флаг cn
Основываясь на ваших комментариях к моему ответу ниже, вам необходимо предоставить более подробную информацию для ответа на ваш вопрос, поскольку в настоящее время все, что вы пытаетесь выполнить, и ваши текущие конфигурации недостаточно объяснены в этом вопросе.
Рейтинг:0
флаг cn

Включить DNSSEC в своем домене, затем создайте соответствующие записи TLSA в интерфейсе Cloudflare.

DANE предназначен для отправляющего сервера, поэтому не имеет значения, какой почтовый сервер вы используете для получения, если записи и TLS настроены правильно.

CADENTIC avatar
флаг ng
Я включил DNSSEC, но не могу понять, как мне добавить DANE, когда наши серверные вычисления находятся за балансировщиком сетевой нагрузки в облаке оракула (всегда на бесплатном уровне)? @Павел
Paul avatar
флаг cn
Вам просто нужно создать запись TLSA.[Этот инструмент] (https://www.huque.com/bin/gen_tlsa) является одним из самых простых, хотя он не содержит подробного объяснения того, для чего предназначен каждый параметр. Вы можете создать несколько записей с разными сертификатами. См. [RFC 6698] (https://datatracker.ietf.org/doc/html/rfc6698) и его обновления для получения дополнительной информации.
CADENTIC avatar
флаг ng
Cloudflare учитывает запись TLSA, если вы держите их «Только DNS», и не управляет ключом, пока Cloudflare (внутренний) CA изменяет его, и не улучшается с ним. так что скорее всего с Cloudflare не выгодно. Cloudflare полезен для https и hsts.
CADENTIC avatar
флаг ng
Я думаю, что DNSSEC не является обязательным для TLSA, потому что в службе управления DNS в OCI у вас будут опции для настройки DANE и TLSA.
Paul avatar
флаг cn
Прочитайте введение в [RFC 7671] (https://datatracker.ietf.org/doc/html/rfc7671#section-1). Все это построено на DNSSEC, поэтому я действительно понятия не имею, о чем вы говорите.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.