Как разместить запись в dns зоне для сертификата
Перейти к содержимому

Как разместить запись в dns зоне для сертификата

  • автор:

Создание / редактирование CAA записи в DNS для получения SSL сертификатов Symante GeoTrust Thawte RapidSSL

Запись авторизованного центра центра сертификации (CAA) используется для указания, каким полномочным органам сертификации (ЦС) разрешено выдавать сертификаты для указанного домена. Цель записи CAA — разрешить владельцам доменов объявлять, какие органы сертификации могут выдавать сертификат для домена. Они также предоставляют средства для указания правил уведомления в случае, если кто-то запрашивает сертификат у неавторизованного центра сертификации. Если нет записи CAA, любой CA может выдавать сертификат для домена. Если присутствует запись CAA, только CA, перечисленные в записи (-ах), могут выдавать сертификаты для этого имени хоста. Записи CAA могут устанавливать политику для всего домена или для определенных имен хостов. Записи CAA также наследуются субдоменами, поэтому запись CAA, установленная на example.com , также применяется к любому субдомену, например subdomain.example.com (если не переопределено). Записи CAA могут контролировать выдачу FQDN сертификатов, Wildcard сертификатов или обоих. Документация по CAA приведена в RFC 6844

Формат записи CAA

  • flag — Целое число без знака от 0 до 255
    В настоящее время он используется для представления критического флага, который имеет определенное значение для RFC .
  • tag — Строка ASCII, которая представляет собой идентификатор свойства, представленного записью.
  • value — Значение, связанное с тегом.

Запись CAA состоит из байта флагов и пары значений тега-значения, называемой свойством. Несколько свойств могут быть связаны с одним и тем же доменным именем, публикуя несколько CAA RRsс этим доменным именем.

  • issue — разрешает указанному Центру Сертификации выдавать любой сертификат для домена.
  • issuewild — разрешает указанному Центру Сертификации выпустить только Wildcard сертификат для домена.
  • iodef — указывает URL-адрес, на который Центр Сертификации может сообщать о нарушении правил.

Использование записи CAA

Как указано в разделе формата, каждая запись CAA содержит только одну пару значений тег — значение. Тег должен быть одним из трех доступных в настоящее время тегов: issue. issuewild. iodef . Например, если хотите разрешить выдачу SSL-сертификатов для mydomain.com только для DigiCert добавте следующую запись CAA: mydomain.com. CAA 0 issue «digicert.com» Если хотите разрешить выпуск ССЛ сертификатов для двух Центров Сертификации, добавьте 2 записи CAA, по одному для каждого CA:
mydomain.com. CAA 0 issue «digicert.com»
mydomain.com. CAA 0 issue «thawte.com»

Если хотите разрешить Семантику выпуск FQDN сертификатов а Геотрасту выпуск только Wildcard сертификатов — используйте issuewild : mydomain.com. CAA 0 issue «digicert.com»
mydomain.com. CAA 0 issuewild «geotrust.com»

Обратите внимание, что присутствие issuewild запрещает issue. Поэтому Центру Сертификации DigiCert не разрешается выпустить Wildcard сертификаты для вашего домена

Чтобы получать уведомления о нарушениях правил, вы можете добавить запись с тегом iodef , содержащую адрес электронной почты для уведомления: mydomain.com. CAA 0 iodef «mailto:admin@mydomain.com»

Записи наследуются дочерними именами хостов.
mydomain.com. CAA 0 issue «digicert.com»
a.mydomain.com. CAA 0 issue «thawte.com»
b.mydomain.com. CAA 0 issue «geotrust.com»
b.mydomain.com. CAA 0 issue «rapidssl.com»
В приведенном выше примере DigiCert является CA по умолчанию для домена mydomain.com. Однако только Thawte может выдать сертификат для a.mydomain.com . GeoTrust и RapidSSL могут выдавать сертификаты для b.mydomain.com . а для c.mydomain.com разрешено выпускать сертификаты ССЛ только DigiCert

Вопросы-Ответы по записям CAA

  1. DigiCert всегда проверяет существование записей CAA — Да, система автоматически проверяет все заказы на записи в ДНС
  2. Даже если запись CAA отсутствует, DigiCert может выдавать сертификат ssl? Да, поскольку использование CAA является добровольным для владельцев домена, и им не нужно указывать свои предпочтения
  3. Если запись CAA существует и CA DigiCert отмечена как разрешенная — будет ли выдаваться сертификат DigiCert ssl. Если существует запись для любого из брендов DigiCert сертификат будет выпущен
  4. Если запись CAA существует и CA DigiCert не помечена как разрешенная — будет ли выдаваться сертификат DigiCert ssl — Нет, в этом случае невозможно будет выдавать сертификат, клиенту необходимо будет обновить записи CAA.

Преимущества. CAA — это простой способ выразить предпочтение ЦС. Поскольку вы владеете своим доменным именем и контролируете всю информацию DNS для этого домена, вы можете добавить информацию CAA в DNS и изменить ее по своему желанию. Ни одна другая сторона, включая ЦС, не должна участвовать. Если вы отвечаете за инфраструктуру сертификатов вашей компании, вы можете воспользоваться CAA. Например, вы можете договориться о скидке на объем с конкретным ЦС и хотите приобрести все свои сертификаты из этого ЦС, чтобы сэкономить деньги. С помощью CAA вы можете получать предупреждения, когда сотрудник регистрируется для сертификата из другого ЦС. CAA также включает функцию, которая позволяет ЦС сообщать о недопустимых запросах сертификатов. Любой совместимый ЦС может уведомить вас по электронной почте, веб-сервису или обоим, о любом полученном им запросе сертификата, который не соответствует предпочтениям, установленным в вашей записи CAA. Если вы используете CAA, вы не привязаны к одному ЦС. Можно создать несколько записей CAA для нескольких центров сертификации, с которыми вы хотите работать. Или вы можете использовать CAA, чтобы указать, что ни один ЦС не должен выдавать сертификаты в ваш домен.

  • Повышает надежность проверки имени домена
  • Реализация проверки автоматическая с низким уровнем обслуживания
  • Позволяет идентифицировать высокоценные цели, которые помогут с глобальной проверкой высокоценных доменов
  • Мощная защита от мошеннических попыток

Также следует учитывать, что если некоторые CA используют CAA, а другие нет, то кто будет целью хакера для мошеннических сертификатов?

  • Соблюдение проверки записей является добровольным. Центры сертификации не обязаны проверять запись CAA или соблюдать ее содержимое, если они это сделают, если иное не указано в их заявлении о практике сертификации (CPS). Другими словами, CA все равно может игнорировать вашу запись CAA, если она соответствует заявлениям, сделанным в CPS о соответствии CAA. На момент написания этой статьи ни один ЦА не объявил о поддержке CAA; однако несколько государственных центров сертификации начинают его тестировать.
  • В настоящее время CAA представляет собой лишь частичное решение для обеспечения безопасности, поскольку у злоумышленников есть способы подмены DNS, и хотя расширения безопасности доменных имен (DNSSEC) могут защитить вашу запись CAA в DNS, DNSSEC в настоящее время широко не используется. CAA также необходимо будет широко внедрять и наблюдать за центрами сертификации, поэтому использование DNSSEC не является обязательным с помощью CAA, чтобы избежать ненужной зависимости от полного развертывания DNSSEC.
  • Возможно, вам будет сложно внести изменения в данные DNS. Возможно, вам придется вовлечь других людей в вашу компанию или внешнего поставщика, чтобы внести необходимые изменения.
  • Это может замедлить выпуск сертификата, если соответствующий CA проверяет вашу запись CAA и определяет, что она не указана в этой записи. CA может потребовать, чтобы вы обновили свою запись CAA до выдачи сертификата или можете получить отказ от одобрения выдачи сертификата.

 DV OV EV WC SAN PRO CodeSign Email PDF Wi-Fi IoT ALL Купить сертификат

NO russia - мы не осблуживаем резидентов из россии

Copyright © 1997-2024 adgrafics

Подтверждение данных в Удостоверяющем центре

Для DV-сертификатов, удостоверяющих домен, подтвердить принадлежность домена можно с помощью размещения записи TXT в DNS-зоне.

Содержание записи будет выслано на контактный электронный адрес, указанный в анкете договора, после оформления заказа на сертификат.

Запись типа TXT обычно используется для текстового описания доменного имени. Запись TXT, которую надо внести в DNS-зону, имеет вид:

domain. TXT %dns_string%

dns_string — это переменная, которая генерируется Удостоверяющим центром.

domain — это доменное имя без www.

Если домен делегирован на DNS-серверы R01, то запись TXT будет добавлена автоматически.

Программное обеспечение Удостоверяющего центра проверит наличие этой записи в течение суток и как только обнаружит запись, сертификат будет выпущен.

Информация для клиентов: +7 (495) 783-3-783; info@r01.ru
Техническая поддержка: +7 (495) 783-3-783; support@r01.ru
Центральный офис: г. Москва, Большой Гнездниковский переулок, дом 1, строение 2 ( м. «Тверская», выход №9, Бизнес-Центр «Вознесенский»).

Редактор DNS-зон

Редактор DNS доступен из Личного кабинета и предназначен для просмотра и редактирования зон, закрепленных за пользователем.

Возможности DNS-редактора

В Личном кабинете на странице DNS-редактор представлен перечень зон, которые вы можете редактировать (изменения, внесенные вами, обновятся на нашем сервере в течение 30-40 минут, однако то, как скоро это будет заметно пользователям — напрямую зависит от настроек сервера интернет-провайдера, через которого производится подключение к сети). При нажатии на имя зоны (пусть в нашем примере это будет domain.tld) открывается страница DNS-редактора. Рассмотрим по отдельности каждое из представленных на этой странице полей.

  • Поле «имя» предполагает несколько вариантов заполнения:
    • @ — символ «@» означает, что действие записи будет распространяться на ту зону, на странице редактирования которой вы находитесь. В нашем случае — это domain.tld.
    • abc — набор букв и цифр («abc» было выбрано в качестве примера — вы можете указать свое имя) означает, что действие записи будет распространяться на зону более низкого уровня, чем та, на странице редактирования которой вы находитесь. В нашем примере — действие записи будет распространяться на зону abc.domain.tld.
    • * — символ «*» означает, что действие записи будет распространяться на все варианты зон ниже той, на странице редактирования которой вы находитесь. В нашем случае — это 123.domain.tld, abc.domain.tld, qwe.rty.domain.tld и т.д.
    • A — используется для указания соответствия имени хоста IP-адресу.
    • AAAA — используется для указания соответствия имени хоста IP-адресу, но содержит адрес сервера в формате IPv6.
    • CAA — используется для указания какие центры сертификации могут выдавать SSL-сертификаты.
    • NS — используется для делегирования поддомена на сторонние сервера.
    • MX — используется для указания почтового сервера для домена.
    • CNAME — используется для перенаправления имени хоста на другое имя.
    • SRV — используется для указания сервера, предоставляющего услуги определенной службы. В грубом приближении это аналог MX-записи, которая указывает, куда должна доставляться электронная почта, которая адресована определенному домену. Штатно поддерживается такими протоколами как XMPP(Jabber), SIP, LDAP. За счет использования этого вида записи можно разместить Jabber-сервер на отдельной машине, а не на той же, куда указывает A-запись DNS.
    • TXT — используется для указания дополнительной текстовой информации, которую хочет сообщить владелец домена.

    Характерные DNS-записи

    Рассмотрим несколько наиболее популярных ситуаций:

    A-запись: необходимо, чтобы сайт открывался с другого сервера

    • Если это нужно сделать для домена, указанного в разделе «DNS-Редактор», кликните на него мышкой и, в случае если на новой странице существует запись:
      • @ IN A отключите ее. После того как запись будет отключена, нажмите на ссылку «добавить новую запись» и создайте запись вида:
      • имя: @
      • тип: A
      • значение (IP/host.): IP-адрес сервера
      • имя: abc («abc» указано в качестве примера. Работает, если вы хотите создать запись для домена abc.domain.tld в зоне домена domain.tld. В вашем случае будет какое-то другое имя)
      • тип: A
      • значение (IP/host.): IP-адрес сервера

      MX-запись: необходимо, чтобы почта домена обслуживалась другим сервером

      • Если вам неизвестно имя сервера, но вы знаете его IP-адрес —необходимо сначала в зоне домена создать новую запись со следующими параметрами:
        • имя: mail-server
        • тип: A
        • значение (IP/host.): IP-адрес почтового сервера
        • @ IN MX 10 отключите ее. После того как запись будет отключена, нажмите на ссылку «добавить новую запись» и создайте запись вида:
        • имя: @
        • тип: MX
        • MX preference: числовое значение, допустим, 10.
        • значение (IP/host.): mail-server
        • имя: abc («abc» указано в качестве примера. Работает, если вы хотите создать запись для домена abc.domain.tld в зоне домена domain.tld. В вашем случае будет какое-то другое имя)
        • тип: MX
        • MX preference: числовое значение, допустим, 10.
        • значение (IP/host.): mail-server

        SRV-запись

        Для внесения SRV-записи необходимо получить от владельца службы следующие данные:

        • Служба (service)
        • Протокол (proto)
        • Приоритет (priority)
        • Вес (weight)
        • Порт (port)
        • Сервер (target)

        * TTL не изменяется, поэтому его указывать не нужно;

        Имя записи формируется из имени службы и протокола: _служба._протокол

        Значение записи имеет следующий формат: приоритет вес порт сервер. (в конце имени обязательно должна быть точка!)

        Пример правильно заполненной формы.

        Пример правильно заполненной формы

        Список NS-серверов поддомена

        Если основной домен делегирован на сервера masterhost, то смена NS-серверов поддомена третьего уровня производится через редактор DNS-Редактор .

        Cмена NS-серверов поддомена

        Если поддержка основного домена оказывается на сторонних серверах, то изменение списка NS-серверов для его поддоменов производится в панели управления этими серверами.

        PTR-запись: вы выделили мне IP-адрес , и я хочу установить соответствие между этим IP-адресом и именем определенного хоста

        Для этого необходимо зайти в раздел Услуги, выбрать DNS-Редактор, в пункте «Редактирование PTR-записи» выбрать IP-адрес из списка и нажать «Редактировать». В поле, доступном для редактирования, ввести имя хоста с точкой на конце и нажать «сохранить».

        SPF-запись

        Достаточно распространенным приемом, используемым организаторами СПАМ-рассылок , является подделка обратного адреса письма. В этом случае на Ваши почтовые ящики иногда могут приходить служебные сообщения об ошибках (bounce message), если одно или несколько таких СПАМ-писем с обратным адресом Вашего почтового ящика были заблокированы серверами получателей.

        Есть несколько технологий, которые помогут защитить Ваш почтовый домен от использования злоумышленниками: SPF , DKIM , DMARC

        В данный момент на наших почтовых серверах поддерживаются технологии SPF и DKIM. Если отправка почты от имени адресов Вашего домена осуществляется только с наших почтовых серверов, мы рекомендуем добавить в DNS зону этого домена следующую TXT-запись с нашим SPF правилом, которое не позволит использовать Ваш домен на сторонних почтовых серверах.

        • имя: @
        • тип: TXT
        • значение: v=spf1 include:_spf.masterhost.ru -all

        Это правило заставит серверы получателей блокировать все СПАМ-письма , которые используют в качестве адресов отправителя Ваше доменное имя. Подробнее о технологии SPF .

        Уважаемые пользователи, убедительно просим Вас быть особо внимательными при редактировании DNS-зон, некорректная конфигурация DNS-зоны может привести к неработоспособности Ваших ресурсов на достаточно длительный срок!

        DKIM

        Для защиты от мошеннических действий от имени Вашего домена мы рекомендуем добавить DKIM-запись в DNS-зону . Если Вы используете нашу почту, добавить DKIM можно в Личном кабинете.

        Подключение DKIM для почты MS Exchange

          Exchange-почта: Услуги – почта (ms exchange) eXXXXX – DKIM – добавить

        Подключение DKIM для почты в составе хостинга

      • Почта, входящая в состав хостинга: Услуги – Виртуальная площадка – Домен – DKIM – добавить

      CAA-запись

      С помощью этой записи вы можете указать удостоверяющие центры, имеющие право выпускать SSL/TLS-сертификаты для данного домена. Запись CAA позволяет избежать несанкционированной выдачи сертификатов по ошибке или с целью мошенничества.

      CAA-запись

      Это только пример, точную информацию по содержанию поля «Значение» следует уточнять у Вашего удостоверяющего центра.

      Изменение NS-серверов домена

      • Зайти в Личный кабинет;
      • Указать логин cXXXXX и пароль;
      • Открыть раздел «Услуги» нажать на раздел «Домены» и нажать на доменное имя;
      • Нажать на ссылку «Изменить NS-серверы»;
      • Чтобы указать сторонние серверы, выберите «Делегировать на сторонние серверы»;
      • Впишите адреса DNS серверов по одному на строке;
      • Для отмены предварительного тестирования DNS-серверов, отметьте свойство «Без тестирования»;
      • Нажмите кнопку «Сохранить».

      Если логин cXXXXX и пароль доступа к Личному кабинету утеряны, то для восстановления реквизитов доступа Вы можете воспользоваться ссылкой «Напомнить».

      1. Изменение списка DNS-серверов возможно только после завершения мобильной авторизации.
      2. С момента делегирования домена (изменения его списка NS-серверов) потребуется от 6 до 72 часов прежде чем он будет доступен в сети Интернет.

      Создание ресурсных записей доменной зоны

      Ресурсные записи содержат служебную информацию о доменной зоне.

      Чтобы создать ресурсную запись для доменной зоны:

      1. Перейдите в Учётные записи → Доменные имена → ЗаписиСоздать.
      2. Укажите Имя поддомена доменной зоны, для которого будет создана запись.
      3. Укажите TTL — время жизни ресурсной записи, т. е. время, в течение которого данные о ресурсной записи можно хранить в кэше. Указывается в секундах. По умолчанию — «3600».
      4. Выберите Тип ресурсной записи.
      5. Укажите нужные данные для записи выбранного типа.

      A-запись

      A-запись определяет IPv4-адрес, который соответствует доменному имени. Укажите IP-адрес.

      AAAA-запись

      AAAA-запись определяет IPv6-адрес, который со ответствует дом енному имени. Укажите IP-адрес.

      SOA-запись

      Формируется автоматически при создании доменной зоны в DNSmanager, содержит её описание. Запись нельзя создать или удалить из панели управления.

      NS-запись

      NS-запись — доменное имя уполномоченного DNS-сервера для домена. Может содержать несколько серверов, в том числе первичный (master). Укажите Домен DNS-сервера.

      MX-запись

      MX-запись — определяет адрес почтового шлюза для домена и его приоритет. MX-запись используется для маршрутизации почты в сети. Укажите Домен — поддомен доменной зоны, который является почтовым шлюзом. Укажите Приоритет — число, чем оно больше , тем ниже приоритет.

      TXT-запись

      TXT-запись — текстовая строка. TXT-записи используются только некоторыми протоколами, для которых это необходимо. Укажите произвольную информаци ю в Значение.

      SRV-запись

      SRV-запись — определяет имя хоста и порт сервера домена. Позволяет использовать несколько серверов для одного домена. SRV-записи используются только некоторыми п ротоколами, для которых это необходимо . Например, протоколы SIP и XMPP.

      Укажите Домен, к которому относится ресурсная запись.

      Укажите Приоритет (priority) и Вес (weight) сервера. Приоритет — число, чем оно больше , тем меньше приоритет. Клиент сперва пытается подключиться к наиболее приоритетному серверу. Если он недоступен, то к следующему по приоритету и т. д. Если у серверов одинаковый приоритет, то первым будет отправлен запрос к серверу, который имеет больший вес. Если с определённым значением приоритета только один сервер, то для него вес должен быть указан равным 0.

      Укажите Порт (port) сервера, на который будет отправлен запрос.

      CNAME-запись

      CNAME-запись определяет каноническое имя для псевдонима. Используется, чтобы перенаправить запрос к доменному имени-псевдониму. Доменное имя-псевдоним не должно иметь других ресурсных записей. Укажите Домен, на который будет перенаправляться запрос.

      ALIAS-запись

      ALIAS-записи используются для перенаправления запроса к другому доменному имени-псевдониму. При этом, в отличие от CNAME-записи, доменное имя-псевдоним может иметь другие ресурсные записи. Укажите Домен, на который будет перенаправляться запрос.

      Если вы используете PowerDNS версии 4.1.0 и выше, добавьте в конфигурационный файл PowerDNS строки:

      resolver=resolver_IP expand-alias=yes

      resolver_IP — IP-адрес DNS-резолвера

      DNAME-запись

      DNAME-запись обеспечивает перенаправление поддерева доменных имён . Используется, чтобы перенаправить все запросы ко всем доменным имена, которые заканчиваются определённым суффиксом, в другую часть пространства доменных имён. Укажите Домен, на который будет перенаправляться запрос.

      PTR-запись

      PTR-запись содержит доменное имя, которое соответствует IP-адресу. Используется в основном при отправке писем от имени домена. Большинство почтовых серверов проверяет наличие PTR-записи и её совпадение с именем домена, от которого пришло письмо. Если проверка не проходит, то письмо отмечается как спам. Таким образом отсутствие PTR-записи может привести к блокировке писем с IP-адреса. Укажите Домен, который будет в ответе на запрос PTR-записи доменного имени.

      CAA-запись

      CAA-запись — определяет авторизованные центры сертификации, которые могут выдавать сертификаты для домена. Проверяется центром сертификации, чтобы снизить риск непредвиденных ошибок при выдаче сертификата. Проверку CAA-записей выполняют все центры сертификации, чтобы убедиться, что запросы на выдачу сертификатов поступают от владельца домена. Это позволяет исключить выдачу сертификата по запросу злоумышленника, например, если центр сертификации скомпрометирован или домен взломан. Отсутствие CAA-записи не является помехой выпуску сертификата. Если центр сертификации не получает в ответ на запрос ни одной CAA-записи домена, то проверка пропускается. Если CAA-записи получены, то центр сертификации ищет в них своё имя.

      Выберите в поле Флаги «0», чтобы центр сертификации мог выпустить сертификат, если он не смог распознать в CAA-записи содержание тега. Либо выберите «128», чтобы в такой ситуации центр сертификации прекратил выпуск сертификата.

      Выберите Тег:

      • issue — добавление домена центра сертификации, чтобы разрешить ему выдавать сертификаты;
      • issuewild — добавление домена центра сертификации, чтобы разрешить ему выдавать wildcard сертификаты;
      • iodef — указание email или URL-адреса страницы обратной связи . Центр сертификации может их использовать , чтобы сообщить о проблемах с сертификатом.

      Укажите Значение:

      • если в поле Тег значение «issue» или «issuewild»: укажите доменное имя центра сертификации. После него можно указать дополнительные параметры через символ «;». Например, «ca.example.net; account=1», если центр сертификации попросил клиента указать номер аккаунта. Обратите внимание, что если указать только символа «;» без дополнительного параметра в CAA-записи, то это обрабатывается всеми центрами сертификации, как запрет на выдачу сертификата;
      • если в поле Тег значение «iodef»: укажите email или URL-адрес страницы обратной связи. Дополнительные параметры использовать нельзя.

      DS-запись

      Отпечаток открытого KSK-ключа подписи в DNSSEC. Подробнее см. в статье Настройка DNSSEC.

      Укажите Тег ключа — идентификатор KSK-ключа.

      Выберите Алгоритм, с помощью которого сгенерирован KSK-ключ.

      Выберите Тип дайджеста — алгоритм, с помощью которого сгенерирован отпечаток ключа.

      Укажите Дайджест — содержимое отпечатка ключа.

      TLSA-запись

      TLSA-запись позволяет владельцу домена подтвердить подлинность используемого сертификата или цифровой подписи средствами DNSSEC. С помощью TLSA-записи вы можете сохранить отпечаток TLS или SSL-сертификата на вашем DNS-сервере.

      _443._tcp.www.example.com IN TLSA 3 0 1 12B1B210D87C674F0C748E0E259CEB328C4A33A11F19467700EB2

      Пояснения к примеру

      443 — порт TLS-сервера

      tcp — используемый протокол TLS-сервера

      www.example.com — доменное имя TLS-сервера

      3 — способ использования сертификата TLS-сервера

      0 — какая часть сертификата используется при сопоставлении его содержимого со значением TLSA

      1 — метод сопоставления данных сертификата с данными TLSA

      12B1B210D87C674F0C748E0E259CEB328C4A33A11F19467700EB2 — данные сертификата

      При добавлении TLSA-записи укажите:

      1. Имя записи в формате _port_.protocol или _port_.protocol.domain. Например, «_443 _.tcp» или «_443 _.tcp.www.example.com».
      2. Способ использования сертификата TLS-сервера:
        • 0 — ограничение CA — TLSA содержит информацию о сертификате удостоверяющего центра (УЦ). УЦ должен присутствовать в цепочке валидации при установлении TLS-соединения;
        • 1 — служба ограничения сертификата — TLSA содержит информацию о сертификате сервера;
        • 2 — доверенный источник — TLSA содержит информацию о корневом сертификате;
        • 3 — сертификат домена — TLSA содержит информацию о сертификате сервера. Этот сервер должен быть конечным сертификатом в цепочке валидации. Такой способ позволяет использовать самоподписанные сертификаты.
      3. Какая часть сертификата используется при сопоставлении его содержимого со значением TLSA:
        • 0 — полный сертификат;
        • 1 — открытый ключ.
      4. Метод сопоставления данных сертификата с данными TLSA:
        • 0 — хеш не используется — полное точное совпадение;
        • 1 — SHA-256 — совпадение значений хеш-функции SHA-256;
        • 2 — SHA-512 — совпадение значений хеш-функции SHA-512.
      5. Данные сертификата.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *