DANE是甚麼?
DANE全名為DNS-Based Authentication of Named Entities,當網站安裝了SSL憑證,而且DNS主機啟用了DNSSEC機制之後就可以啟用DANE的驗證機制,用來作為確保網站憑證不被竄改,對網站的運作又多了一重的保護,避免使用者透過網路交易時密碼與個資外洩的風險;只是目前為止各瀏覽器都還沒有預設支援DANE的驗證,使用者仍需要透過安裝擴充功能或是附加元件來進行驗證工作,在這裡要來介紹Google的Chrome瀏覽器怎麼開啟支援DANE驗證的功能。
首先你必須按下圖的說明先進入Google Chrome瀏覽器的擴充功能頁面,接著依照步驟一~三地說明進行擴充功能的安裝與啟用。
【步驟一】安裝Chrome瀏覽器的DNSSEC Validator 跟TLSA Validator這兩個擴充功能,有下列兩種安裝方式:
- 透過Chrome擴充功能頁面左下方的「Chrome線上應用程式商店」,搜尋DNSSEC或TLSA這兩個關鍵詞,就會出現這兩個擴充功能,點選「+加到CHROME」來進行安裝。(建議使用)
- 下載並儲存底下這兩個*.crx檔案,然後使用拖曳的方式將檔案拉進擴充功能頁面,即可自動進行安裝。
https://secure.nic.cz/files/dnssec-validator/2.2.0/gc-dnssec-validator-add-on-2.2.0.crx
https://secure.nic.cz/files/dnssec-validator/2.2.0/gc-tlsa-validator-add-on-2.2.0.crx
【步驟二】步驟安裝作業系統應用程式:
單獨安裝擴充功能時,並無法順利且正常的使用DNSSEC與DANE驗證,還必須安裝對應的作業系統應用程式;下載儲存下列兩個檔案並點選安裝,接著依照畫面指示動作即可!
• https://secure.nic.cz/files/dnssec-validator/2.2.0/dnssec-plugin-2.2.0.x-windows-x86.exe
• https://secure.nic.cz/files/dnssec-validator/2.2.0/tlsa-plugin-2.2.0.x-windows-x86.exe
【步驟三】設定擴充功能:
上述功能都安裝完成之後,擴充功能的圖示都還是灰色的,必須修改這兩個擴充功能的預設值才能正常運作;
請在圖示上點選滑鼠右鍵進入選項功能,修改Resolver 的設定為已經啟動DNSSEC的DNS主機,建議可以使用Google的8.8.8.8、Cloudflare的1.1.1.1或TWNIC的101.101.101.101,之後將設定內容儲存。
完成上述設定之後,必須完全關閉並重新啟動Google Chrome,請用滑鼠右鍵點選系統右下角的Chrome 圖示,選擇「結束」之後再重新啟動Chrome。
當擴充功能開始運作時,Windows防火牆會自動跳出安全性警示的視窗,這時只要選擇「允許存取」即可。
完成上述步驟之後就算大功告成了,接下來瀏覽網頁時,當開啟啟用支援DNSSEC與DANE的網站時,除了網址列左邊SSL綠色鎖頭的安全的圖示之外,在擴充功能列同時也會看到DNSSEC與DANE驗證的綠色圖示了。
