Tento článek rozebírá podrobně DNS záznamy typu SSHFP a TLSA. Obecný návod k DNS záznamům a jejich nastavení v zákaznické administraci najdete v článku DNS – Nastavení záznamů domény.

V tomto článku se dozvíte:

• Jak funguje záznam typu SSHFP
• Jak funguje záznam typu TLSA
• Často kladené dotazy

Při navazování spojení se serverem pomocí SSH protokolu dochází k autentifikaci ověřením identity serveru pomocí klíčů. Bezpečnost spojení tak závisí na porovnání serverem poskytnutého otisku s očekávaným otiskem veřejného klíče serveru.

DNS záznam typu SSHFP (RFC 4255) dává SSH klientům nový způsob autentifikace porovnáním otisku poskytnutého serverem oproti otisku uloženého v DNS zóně domény. Při porovnávání musí souhlasit všechny parametry SSHFP záznamu – algoritmy použité pro vygenerování klíče a jeho otisku, a dále samotný otisk klíče.

Využití DNS SSHFP má smysl pouze v případě, že je tento záznam podepsán technoligií DNSSEC a nemůže tedy být podvržen.

SSHFP záznam sestává ze tří částí: čísla algoritmu použitého pro vygenerování klíče, čísla algoritmu pro vygenerování otisku a samotný otisk veřejného klíče serveru.

DNS záznam typu TLSA (RFC 6698) určuje certifikát služby pro kombinaci údajů – FQDN, protokol a port. Pomocí TLSA záznamu je tedy možné ověřit, zda nedošlo na cestě mezi příjemcem a odesílatelem k pozměnění certifikátu.

Záznam typu TLSA má specifický tvar názvu i dat. Symbolický název SRV záznamu mívá obvykle tvar _port._protokol, např. _443._tcp.

Samotná data TLSA záznamu obsahují tři paramtry a následně binární data pro asociaci certifikátu: číslo přiřazení certifikátu doménovému názvu, číslo selektoru, číslo typu porovnávání certifikátu z řetězce proti datům v TLSA záznamu a nakonec data pro porovnávání s poskytnutým certifikátem.

Otázka: Musím tyto záznamy používat?
Odpověď: Ne, záznamy SSHFP a TLSA do DNS zadávat nemusíte.