Tham gia Đăng nhập
Điểm:1
CADENTIC avatar Server

DANE và TSLA trong Cloudflare

lá cờ ng
CADENTIC

ai đó có thể cho tôi biết cách thiết lập DANE và TSLA trong Cloudflare không? Chúng tôi có cần Google Cloud DNS cho bản ghi TLSA không? máy chủ thư nào sẽ cho phép sử dụng TLSA vào thời điểm này?

liên kết giới thiệu cho DANE

108
0 + 0
lá cờ cn
Bob
Máy chủ thư nổi tiếng là bất cẩn với chứng chỉ TLS và sẽ thường xuyên và theo mặc định sử dụng bất kỳ chứng chỉ TLS nào mà máy chủ smtp của người nhận cung cấp mà không thực hiện bất kỳ kiểm tra nào. (Bởi vì mặc dù thực tiễn bảo mật kém cung cấp bảo mật vận chuyển nhiều hơn là gửi email ở dạng văn bản rõ ràng) Vì vậy, kỳ vọng của tôi về hỗ trợ TLSA và sự tiếp nhận hiện tại trong máy chủ thư là: chưa đủ để phù hợp (chưa?)
0
Hồi đáp
CADENTIC avatar
lá cờ ng
CADENTIC
máy chủ thư cũng không thể mã hóa .zip và tệp đính kèm, vì vậy trong các máy chủ thư thế hệ cũ được sử dụng để chặn zip bằng các tệp .exe (bao gồm cả gmail) và chúng tôi đã sử dụng để thay đổi các phần mở rộng bằng .txt và chúng tôi có thể gửi các tệp .exe nhưng ngày nay google cũng chặn các tệp nhị phân như vậy, bao gồm cả các tệp js. câu hỏi là làm thế nào? @Bob
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Cuộc thảo luận cộng đồng Cloudflare được liên kết đã được 5 năm và không còn phù hợp nữa. Kể từ đó, Cloudflare đã thêm các bản ghi TLSA.
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
@Bob Các máy chủ thư không "bất cẩn". Một máy chủ thư được cấu hình bởi quản trị viên. Các quản trị viên thường có một số lý do để cấu hình theo cách mà họ cấu hình. Đó là một cấu hình tương đối đơn giản để yêu cầu chứng chỉ CA trên máy chủ người nhận. Lý do điều này không được thực hiện là do có quá nhiều máy chủ người nhận được cấu hình kém, dẫn đến thư không gửi được.Điều này cũng đúng khi nhận thư, vì nhiều máy chủ gửi sẽ không hỗ trợ mã hóa (quan sát của tôi phổ biến nhất với danh sách và bản tin, có khả năng tiết kiệm chi phí tài nguyên.)
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
@CADENTIC Mã hóa TLS chỉ vận chuyển, vì vậy sẽ mã hóa mọi thứ. Các vấn đề về loại tệp mà bạn đang đề cập có khả năng là bảo vệ chống phần mềm thư điện tử ngăn người dùng mở các loại tệp thường bị nhiễm.
0
Hồi đáp
CADENTIC avatar
lá cờ ng
CADENTIC
tôi đoán mã hóa của tệp đính kèm là máy chủ thư cụ thể. lọc tệp rất có thể là lọc chống thư rác, vd. SpamAssát thủ. vì vậy người dùng đã từng thay đổi zip, exe thành văn bản và họ có thể gửi chúng đi nhưng ngày nay Gmail Outlook cũng quét cả. không chỉ các phần mở rộng của tệp đính kèm. @paul pot là họ đã làm điều đó như thế nào?
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Dựa trên nhận xét của bạn cho câu trả lời của tôi bên dưới, bạn cần cung cấp thêm chi tiết để câu hỏi của mình được trả lời, vì hiện tại bất kỳ điều gì bạn đang cố gắng thực hiện và cấu hình hiện tại của bạn không được giải thích đầy đủ trong câu hỏi này.
0
Hồi đáp
Điểm:0
Paul avatar Server
lá cờ cn
Paul

Bật DNSSEC trên miền của bạn, sau đó tạo các bản ghi TLSA có liên quan trong giao diện Cloudflare.

DANE dành cho máy chủ gửi, do đó, việc bạn đang sử dụng máy chủ thư nào để nhận sẽ không quan trọng miễn là các bản ghi và TLS được định cấu hình chính xác.

0 + 0
CADENTIC avatar
lá cờ ng
CADENTIC
Tôi đã bật DNSSEC nhưng không thể tìm ra cách tôi có thể thêm DANE trong khi các tính toán phụ trợ của chúng tôi nằm sau bộ cân bằng tải mạng trong đám mây tiên tri (luôn ở bậc miễn phí)? @paul
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Bạn chỉ cần tạo bản ghi TLSA.[Công cụ này](https://www.huque.com/bin/gen_tlsa) là một trong những công cụ đơn giản nhất, mặc dù nó không chứa nhiều giải thích về mục đích của từng tùy chọn. Bạn có thể tạo nhiều bản ghi với các chứng chỉ khác nhau. Xem [RFC 6698](https://datatracker.ietf.org/doc/html/rfc6698) và các bản cập nhật của nó để biết thêm thông tin.
0
Hồi đáp
CADENTIC avatar
lá cờ ng
CADENTIC
Cloudflare tôn trọng bản ghi TLSA nếu bạn giữ chúng `Chỉ DNS` thì nó không quản lý khóa trong khi CA (nội bộ) của Cloudflare thay đổi nó cũng như không cải thiện cùng với nó. vì vậy rất có thể nó không có lợi với Cloudflare. Cloudflare có lợi cho `https` `hsts`.
0
Hồi đáp
CADENTIC avatar
lá cờ ng
CADENTIC
DNSSEC tôi nghĩ là không bắt buộc đối với TLSA vì trong dịch vụ quản lý DNS trong `OCI`, bạn sẽ có các tùy chọn để thiết lập DANE và TLSA
0
Hồi đáp
Paul avatar
lá cờ cn
Paul
Đọc phần Giới thiệu về [RFC 7671](https://datatracker.ietf.org/doc/html/rfc7671#section-1). Toàn bộ điều này được xây dựng trên DNSSEC, vì vậy tôi thực sự không hiểu bạn đang nói về cái gì.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.