Puncte:1

DANE și TSLA în Cloudflare

drapel ng

îmi poate spune cineva cum să configurez DANE și TSLA în Cloudflare? Avem nevoie de Google Cloud DNS pentru înregistrările TLSA? ce server de e-mail va permite utilizarea TLSA în acest moment?

link ref pentru DANE

drapel cn
Bob
Serverele de e-mail sunt notoriu neglijente cu certificatele TLS și vor folosi frecvent și implicit orice certificat TLS oferit de serverul smtp destinatar, fără a efectua vreo verificare. (Pentru că, deși o practică proastă de securitate care oferă mai multă securitate în transport decât trimiterea e-mailului în text clar) Așadar, așteptările mele pentru suportul TLSA și absorbția curentă în serverele de e-mail este: nu este suficient pentru a fi relevant (încă?)
CADENTIC avatar
drapel ng
De asemenea, serverele de e-mail nu pot cripta fișierele .zip și atașamentele, așa că, în generația veche, serverele de e-mail obișnuiau să suprime fișierele zip cu fișiere .exe (inclusiv gmail) și obișnuiam să schimbăm extensiile cu .txt și am putea trimite fișierele .exe de asemenea, dar în zilele noastre Google blochează și astfel de binare, inclusiv fișiere js. intrebarea este cum? @Bob
Paul avatar
drapel cn
Discuția legată de comunitatea Cloudflare are 5 ani și nu mai este relevantă. Cloudflare a adăugat de atunci înregistrări TLSA.
Paul avatar
drapel cn
@Bob Serverele de mail nu sunt „nepăsătoare”. Un server de e-mail este configurat de administratori. Administratorii au de obicei un motiv pentru a configura modul în care configurează. Este o configurație relativ banală să solicite certificate CA pe serverele destinatare. Motivul pentru care nu se face acest lucru este că prea multe servere destinatare sunt configurate prost, rezultând e-mailuri nelivrabile.Același lucru este valabil și la primirea e-mailurilor, deoarece multe servere de trimitere nu vor accepta criptarea (observarea mea cel mai frecvent cu liste și buletine informative, probabil economisind costul resurselor.)
Paul avatar
drapel cn
Criptarea @CADENTIC TLS este doar transport, deci va cripta totul. Problemele de tip de fișier la care vă referiți sunt probabil protecție anti-mailware care împiedică utilizatorii să deschidă tipuri de fișiere infectate frecvent.
CADENTIC avatar
drapel ng
criptările atașamentelor cred că sunt specifice serverului de e-mail. filtrările de fișiere sunt cel mai probabil filtrare anti-spam, de ex. Spam Assassin. așa că utilizatorul obișnuia să schimbe zip-ul, exe în text și le-ar putea trimite, dar în zilele noastre Gmail Outlook scanează și asta. nu numai extensiile atasamentului. @paul pot este cum au făcut-o?
Paul avatar
drapel cn
Pe baza comentariilor dvs. la răspunsul meu de mai jos, trebuie să oferiți mai multe detalii pentru ca întrebarea dvs. să primească răspuns, deoarece în prezent, orice încercați să realizați și configurațiile dvs. actuale nu sunt explicate în mod adecvat în această întrebare.
Puncte:0
drapel cn

Activați DNSSEC pe domeniul dvs., apoi creați înregistrări TLSA relevante în interfața Cloudflare.

DANE este pentru serverul de trimitere, deci nu va conta cu ce server de e-mail utilizați pentru a primi, atâta timp cât înregistrările și TLS sunt configurate corect.

CADENTIC avatar
drapel ng
Am activat DNSSEC, dar nu îmi dau seama cum pot adăuga DANE în timp ce calculele noastre backend sunt în spatele unui echilibrator de încărcare a rețelei în Oracle Cloud (la nivelul întotdeauna gratuit)? @Paul
Paul avatar
drapel cn
Trebuie doar să creați înregistrarea TLSA.[Acest instrument](https://www.huque.com/bin/gen_tlsa) este unul dintre cele mai simple, deși nu conține multe explicații cu privire la ce este fiecare opțiune. Puteți crea mai multe înregistrări cu certificate diferite. Consultați [RFC 6698](https://datatracker.ietf.org/doc/html/rfc6698) și actualizările acestuia pentru mai multe informații.
CADENTIC avatar
drapel ng
Cloudflare onorează înregistrarea TLSA dacă le păstrați „Doar DNS” nici nu gestionează cheia în timp ce Cloudflare (internă) CA o schimbă și nici nu se îmbunătățește cu ea. deci cel mai probabil nu este benefic cu Cloudflare. Cloudflare este benefic pentru `https` `hsts`.
CADENTIC avatar
drapel ng
DNSSEC cred că nu este obligatoriu pentru TLSA, deoarece în cadrul serviciului de management DNS din `OCI` veți avea opțiuni pentru configurarea DANE și TLSA
Paul avatar
drapel cn
Citiți Introducerea la [RFC 7671](https://datatracker.ietf.org/doc/html/rfc7671#section-1). Întregul lucru este construit pe DNSSEC, așa că nu am idee despre ce vorbești.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.