TLSA: DNS ttl und revoced certs
django at nausch.org
django at nausch.org
Do Feb 5 16:09:42 CET 2015
HI!
Quoting lst_hoe02 at kwsoft.de:
> Wildcard Zertifikate sind PKI,
echt? ich dachte immer 'n wildcard-certificate ist 'n Zertifikat, wo
'n *. im CN steht. :)
> dh. bei DANE/TLSA mit "Usage FIeld" 3 spielt das überhaupt keine Rolle.
Na ja, dann stell doch mal 'n wildcard-certifikat für einen MX ein und
kuck Dir an was passiert.
Anschließend stellst Du ein self-sign-certifikat ein und kuckst Dir
jeweils die Ergebnisse bei tlsa.info an.
Da mäkelt tlsa.info rum, dass es "nur ein non-trused" ist, und genau
das meinte ich!
Kannst Dir ja mal die Details zu nausch.org bei tlsa.info ansehen.
Der 2te Eintrag ist "rot" hinterlegt, da da dies ein CAcert Zertifikat
ist und von sys4.de als untrusted gewertet wird.
Das grün markierte ist ein wildcard-Certificat, dessen Root CA sys4.de
als vertrauenswürdig einstuft.
Eigentlich würde ich ja erwarten, dass auch ein wildcard als
grundsätzlich problematisch gewertet werden würde, wenn ich Victor's
"Vorgaben" beachte.
> Das Orange für nausch.org kommt eher daher das der zweite MX "20
> mx1.tachtler.net" keinen TLSA Record hat, bzw. tachtler.net nicht
> per DNSSEC gesichert ist.
;) Das ist mir schon klar. Der Kolleg eist noch nicht soweit ... :)
GAnz auf der Brennsubbm bin ich ja auch nicht daherschwommn!
Pfiade
Django
Mehr Informationen über die Mailingliste postfix-users