TLSA: DNS ttl und revoced certs

django at nausch.org django at nausch.org
Mi Feb 4 16:47:21 CET 2015


HI Joda!

Quoting Patrick Ben Koetter <p at sys4.de>:

> Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs
> beider Certs zur selben Zeit (!) veröffentlichen.

Na ja, meine Test's bei meinem extern genutzten DSN gingen wohl etwas  
daneben. O.K. nun bin ich wieder 3-fach grün bei https://tlsa.info

Hatte auch eine Post von Victor selbst bekommen, wegen meines Fehlers. :/

O.K., was ich noch loswerden wollte ist folgendes.
Victor schrieb letztes Jahr "Avoid wildcard certs, they may allow MITM  
attackers to redirect connections to the wrong hosts." Warum wird bei  
tlsa.info ein TLSA-Record mit einem Rapid-SSL wildcard-certificate  
"grün" bewertet, ein passendes Zertifikat mit dem CN auf  
mx01.nausch.org von der CA CAcert.org aber nur als "orange"?

Müsste nicht ein wildcard-certificate ebenso mit einem malus belegt  
werden? Oder wie siehst Du das?


Servus
Django



Mehr Informationen über die Mailingliste postfix-users