TLSA: DNS ttl und revoced certs

[lst_hoe02 at kwsoft.de]

Zitat von django at nausch.org:

> HI Joda!
>
> Quoting Patrick Ben Koetter <p at sys4.de>:
>
>> Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du  
>> die TLSA RRs
>> beider Certs zur selben Zeit (!) veröffentlichen.
>
> Na ja, meine Test's bei meinem extern genutzten DSN gingen wohl  
> etwas daneben. O.K. nun bin ich wieder 3-fach grün bei  
> https://tlsa.info
>
> Hatte auch eine Post von Victor selbst bekommen, wegen meines Fehlers. :/
>
> O.K., was ich noch loswerden wollte ist folgendes.
> Victor schrieb letztes Jahr "Avoid wildcard certs, they may allow  
> MITM attackers to redirect connections to the wrong hosts." Warum  
> wird bei tlsa.info ein TLSA-Record mit einem Rapid-SSL  
> wildcard-certificate "grün" bewertet, ein passendes Zertifikat mit  
> dem CN auf mx01.nausch.org von der CA CAcert.org aber nur als  
> "orange"?
>
> Müsste nicht ein wildcard-certificate ebenso mit einem malus belegt  
> werden? Oder wie siehst Du das?
>
>
> Servus
> Django

Hallo,

Wildcard Zertifikate sind PKI, dh. bei DANE/TLSA mit "Usage FIeld" 3  
spielt das überhaupt keine Rolle. Es wird nur kryptographisch geprüft  
ob der Server das passende Zertifikat zum per DNSSEC gesicherten  
"Selector" hat. Das Orange für nausch.org kommt eher daher das der  
zweite MX "20 mx1.tachtler.net" keinen TLSA Record hat, bzw.  
tachtler.net nicht per DNSSEC gesichert ist.

Gruß

Andreas


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5931 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150204/1fccecfe/attachment-0001.bin>