V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
VmuTargh
V2EX  ›  SSL

又有新玩意可以玩了

  •  
  •   VmuTargh · 2016-03-24 19:56:12 +08:00 · 3096 次点击
    这是一个创建于 3193 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities
    DANE, 不过国内暂时无福享受, 因为需要 DNSSEC 支持
    17 条回复    2016-03-26 15:06:07 +08:00
    imlonghao
        1
    imlonghao  
       2016-03-24 20:59:11 +08:00
    尝试部署中...
    VmuTargh
        2
    VmuTargh  
    OP
       2016-03-24 21:06:36 +08:00
    @imlonghao 这玩意好像部署麻烦多了, 另外现在用的.ga 域名不支持 DNSSEC, 倒是 n 久前的.eu.org 这个二级域名支持 DNSSEC 并且很早就用上了. 找个时间折腾下
    VmuTargh
        3
    VmuTargh  
    OP
       2016-03-24 21:23:37 +08:00
    @imlonghao 好吧 刚才看了下, 有人写了一个 TLSA 记录生成工具, 方便多了
    imlonghao
        4
    imlonghao  
       2016-03-24 21:49:43 +08:00
    @VmuTargh imlonghao.com 你试一试?
    imlonghao
        5
    imlonghao  
       2016-03-24 21:52:49 +08:00
    VmuTargh
        6
    VmuTargh  
    OP
       2016-03-24 21:56:27 +08:00
    @imlonghao 速度好快, 我这边还在等待换的 NS 记录生效......Orz
    imlonghao
        7
    imlonghao  
       2016-03-24 22:02:30 +08:00
    @VmuTargh TLSA 记录似乎国内很少有支持的...
    VmuTargh
        8
    VmuTargh  
    OP
       2016-03-24 22:05:12 +08:00
    @imlonghao 几乎没有, 国外也就几个零星几个 provider 支持. 之前用的 cloudflare, 准备把自己的 vmutargh.eu.org 的 NS 换成 dns4pro, rage4 丫的还要手机号
    VmuTargh
        9
    VmuTargh  
    OP
       2016-03-24 22:06:08 +08:00
    @imlonghao 可否问一下你用的哪个? :)
    VmuTargh
        10
    VmuTargh  
    OP
       2016-03-24 22:35:21 +08:00
    VmuTargh
        11
    VmuTargh  
    OP
       2016-03-25 17:45:24 +08:00
    @imlonghao 我的好了, etula.me, 换域名了, 正在等待漫长的 HSTS Preload List 进 stable 过程......
    域名早上在 Dynadot 买的, DNS 用的 1984
    imlonghao
        12
    imlonghao  
       2016-03-26 09:40:09 +08:00
    @VmuTargh 我感觉这个东西的可玩性不高, DANE 基本上能用 HPKP 替代,而且浏览器原生支持不高,请求一次网站还要多请求几个 DNS 请求
    VmuTargh
        13
    VmuTargh  
    OP
       2016-03-26 10:45:48 +08:00
    @imlonghao 不是没有原生支持么, 还要安装捷克人的插件...... 另外 DNSSEC 在国内只有 DNSPod 的公共 DNS 支持, HPKP 在 HSTS Preload List 加持下除了中间人基本上无法被篡改, DANE 我个人觉得还是一种补充的作用. 可能现在连谷歌 twitter 这些都没敢用 DANE 的原因就是多了几个 Request, 加载时间拉长了不太好.

    算了, 反正我强迫症, 能上就上 :)
    qgy18
        14
    qgy18  
       2016-03-26 14:55:25 +08:00
    要保护证书,可以玩的有好多。这里有一个对比:
    https://www.certificate-transparency.org/comparison
    当然,这个对比是 CT 官网上的,所以肯定是说 CT 好。

    目前我就启用了 CT 和 HPKP 。
    songjiaxin2008
        15
    songjiaxin2008  
       2016-03-26 14:56:18 +08:00
    https://moegic.com/ 我这个好像支持了 DNSSEC 然而拓展告诉我没能行 0.0
    VmuTargh
        16
    VmuTargh  
    OP
       2016-03-26 14:59:55 +08:00 via Android
    @qgy18 我的策略是可以用的就给丫用上,选择性强迫症……

    @songjiaxin2008 需要你电脑用的 public dns 支持 DNSSEC
    VmuTargh
        17
    VmuTargh  
    OP
       2016-03-26 15:06:07 +08:00 via Android
    @songjiaxin2008 另外 https://ssl-tools.net
    这个网站可以测试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1094 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:45 · PVG 02:45 · LAX 10:45 · JFK 13:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.