TLSA: DNS ttl und revoced certs
django at nausch.org
django at nausch.org
Mi Feb 4 16:47:21 CET 2015
HI Joda!
Quoting Patrick Ben Koetter <p at sys4.de>:
> Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs
> beider Certs zur selben Zeit (!) veröffentlichen.
Na ja, meine Test's bei meinem extern genutzten DSN gingen wohl etwas
daneben. O.K. nun bin ich wieder 3-fach grün bei https://tlsa.info
Hatte auch eine Post von Victor selbst bekommen, wegen meines Fehlers. :/
O.K., was ich noch loswerden wollte ist folgendes.
Victor schrieb letztes Jahr "Avoid wildcard certs, they may allow MITM
attackers to redirect connections to the wrong hosts." Warum wird bei
tlsa.info ein TLSA-Record mit einem Rapid-SSL wildcard-certificate
"grün" bewertet, ein passendes Zertifikat mit dem CN auf
mx01.nausch.org von der CA CAcert.org aber nur als "orange"?
Müsste nicht ein wildcard-certificate ebenso mit einem malus belegt
werden? Oder wie siehst Du das?
Servus
Django
Mehr Informationen über die Mailingliste postfix-users