TLSA: DNS ttl und revoced certs

lst_hoe02 at kwsoft.de lst_hoe02 at kwsoft.de
Do Feb 5 16:37:12 CET 2015 

Zitat von django at nausch.org:

> HI!
>
> Quoting lst_hoe02 at kwsoft.de:
>
>> Wildcard Zertifikate sind PKI,
>
> echt? ich dachte immer 'n wildcard-certificate ist 'n Zertifikat, wo  
> 'n *. im CN steht. :)
>
>> dh. bei DANE/TLSA mit "Usage FIeld" 3 spielt das überhaupt keine Rolle.
>
> Na ja, dann stell doch mal 'n wildcard-certifikat für einen MX ein  
> und kuck Dir an was passiert.
> Anschließend stellst Du ein self-sign-certifikat ein und kuckst Dir  
> jeweils die Ergebnisse bei tlsa.info an.
> Da mäkelt tlsa.info rum, dass es "nur ein non-trused" ist, und genau  
> das meinte ich!

Die Details hab ich mir tatsächlich nicht angesehen. Aber falls bei  
"Usage Field" = 3 der TLSA Test wegen selbst signierten Zertifikaten  
"warnt" sollte man überlegen ob das nicht eher "info" wäre. Könnte  
allerdinsg auch daran liegen das self-signed oft als root CA  
Zertifikat interpretiert wird und eine Sonderbehandlung erfährt. Hast  
du mal getestet was passiert wenn ein selbst erstelltes von einer  
privaten root-CA signiertes Zertifikat verwendet wird??

> Kannst Dir ja mal die Details zu nausch.org bei tlsa.info ansehen.
> Der 2te Eintrag ist "rot" hinterlegt, da da dies ein CAcert  
> Zertifikat ist und von sys4.de als untrusted gewertet wird.
> Das grün markierte ist ein wildcard-Certificat, dessen Root CA  
> sys4.de als vertrauenswürdig einstuft.
>
> Eigentlich würde ich ja erwarten, dass auch ein wildcard als  
> grundsätzlich problematisch gewertet werden würde, wenn ich Victor's  
> "Vorgaben" beachte.

Wo wird die Vorgabe gemacht das Wildcard Zertifikate für TLSA kritisch  
sind? Ich bin immer noch der Meinung das DANE/TLSA genau diese  
Probleme lösen kann und soll...?

>> Das Orange für nausch.org kommt eher daher das der zweite MX "20  
>> mx1.tachtler.net" keinen TLSA Record hat, bzw. tachtler.net nicht  
>> per DNSSEC gesichert ist.
>
> ;) Das ist mir schon klar. Der Kolleg eist noch nicht soweit ... :)  
> GAnz auf der Brennsubbm bin ich ja auch nicht daherschwommn!
>

Was immer das heißen mag...

Gruß

Andreas


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5931 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150205/296c0469/attachment.bin>

Mehr Informationen über die Mailingliste postfix-users