1. Bản ghi TLSA là gì?

Bản ghi xác thực TLS (TLSA) được sử dụng để liên kết chứng chỉ máy chủ TLS hoặc khóa chung (public key) với tên miền nơi bản ghi được đặt. Với bản ghi TLSA, bạn có thể lưu trữ dấu vân tay của chứng chỉ TLS/SSL trong DNS tên miền của bạn.
Lưu ý: Bản ghi TLSA chỉ có thể được tin cậy nếu DNSSEC được bật trên miền của bạn.

2. Cấu trúc của bản ghi TLSA

 – Cổng (Port number): Số cổng mà máy chủ TLS lắng nghe.

 – Giao thức (Protocol): Giao thức được sử dụng (udp, tcp, sctp).

 – Hostname: Hostname của máy chủ TLS. Trong hầu hết các trường hợp, bản ghi TLSA được sử dụng cho một tên máy chủ cụ thể của tên miền.

3. Bản ghi TLSA điển hình

Host Type Points to: TTL
_port._protocol.host.domain.com TLSA 0 0 0 00000000000000000000000 1 Hour
  • Type: TLSA
  • TTL: 1 Hour
  • Host: _port._protocol e.g.: _100._tcp*
  • Usage: chỉ định liên kết được cung cấp sẽ sử dụng để so sánh khớp với chứng chỉ được sử dụng trong TLS handshake.

             The values are numeric (0, 1, 2, 3)
             0 = Certificate Authority Constraint.
             1 = Service Certificate Constraint.
             2 = Trust Anchor Assertion.
             3 = Domain Issued Certificate.

  • Selector: chỉ định 1 phần của chứng chỉ TLS được trình bày bởi máy chủ sẽ khớp với dữ liệu được liên kết.

             numeric values (0, 1)
             0 = Full Certificate.
             1 = Subject Public Key.

  • Matching type: chỉ định cách thức chứng chỉ được trình bày.

            numeric values (0, 1, 2)
            0 = No hash
            1 = SHA-256
            2 = SHA-512

  • Points to: Hash value

 

Web Việt đã có bài viết về bản ghi TLSA để các bạn sẽ hiểu rõ hơn về bản ghi này