TLSA: DNS ttl und revoced certs
lst_hoe02 at kwsoft.de
lst_hoe02 at kwsoft.de
Mi Feb 4 18:46:51 CET 2015
Zitat von django at nausch.org:
> HI Joda!
>
> Quoting Patrick Ben Koetter <p at sys4.de>:
>
>> Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du
>> die TLSA RRs
>> beider Certs zur selben Zeit (!) veröffentlichen.
>
> Na ja, meine Test's bei meinem extern genutzten DSN gingen wohl
> etwas daneben. O.K. nun bin ich wieder 3-fach grün bei
> https://tlsa.info
>
> Hatte auch eine Post von Victor selbst bekommen, wegen meines Fehlers. :/
>
> O.K., was ich noch loswerden wollte ist folgendes.
> Victor schrieb letztes Jahr "Avoid wildcard certs, they may allow
> MITM attackers to redirect connections to the wrong hosts." Warum
> wird bei tlsa.info ein TLSA-Record mit einem Rapid-SSL
> wildcard-certificate "grün" bewertet, ein passendes Zertifikat mit
> dem CN auf mx01.nausch.org von der CA CAcert.org aber nur als
> "orange"?
>
> Müsste nicht ein wildcard-certificate ebenso mit einem malus belegt
> werden? Oder wie siehst Du das?
>
>
> Servus
> Django
Hallo,
Wildcard Zertifikate sind PKI, dh. bei DANE/TLSA mit "Usage FIeld" 3
spielt das überhaupt keine Rolle. Es wird nur kryptographisch geprüft
ob der Server das passende Zertifikat zum per DNSSEC gesicherten
"Selector" hat. Das Orange für nausch.org kommt eher daher das der
zweite MX "20 mx1.tachtler.net" keinen TLSA Record hat, bzw.
tachtler.net nicht per DNSSEC gesichert ist.
Gruß
Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 5931 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <http://de.postfix.org/pipermail/postfix-users/attachments/20150204/1fccecfe/attachment-0001.bin>
Mehr Informationen über die Mailingliste postfix-users