TLSA: DNS ttl und revoced certs
django at nausch.org
django at nausch.org
Do Feb 5 19:03:16 CET 2015
HI Andreas!
Quoting lst_hoe02 at kwsoft.de:
> Die Details hab ich mir tatsächlich nicht angesehen.
Dachte ich mir schon, hatte mich ja auch "unscharf" ausgedrückt. ;)
> Aber falls bei "Usage Field" = 3 der TLSA Test wegen selbst
> signierten Zertifikaten "warnt" sollte man überlegen ob das nicht
> eher "info" wäre.
Das wiederum könnte p at rick oder Robert von der sys4 sicherlich
beantworten - wir können nur spekulieren. ;)
> Könnte allerdinsg auch daran liegen das self-signed oft als root CA
> Zertifikat interpretiert wird und eine Sonderbehandlung erfährt.
> Hast du mal getestet was passiert wenn ein selbst erstelltes von
> einer privaten root-CA signiertes Zertifikat verwendet wird??
Nein, aber ich denke das würde genauso bewertet werden, wie ein von
cacert.org signiertes Zertifikat.
> Wo wird die Vorgabe gemacht das Wildcard Zertifikate für TLSA kritisch sind?
Wildcard sind für TLSA nicht kritisch, sondern generell, so sagt es
zumindestens Viktor Dukhovni hier:
http://www.ietf.org/mail-archive/web/dane/current/msg06294.html Am
Ende der eMail:
" ... Avoid wildcard certs, they may allow MITM attackers to redirect
connections to the wrong hosts."
> Ich bin immer noch der Meinung das DANE/TLSA genau diese Probleme
> lösen kann und soll...?
Tja, aber "nur" wenn der Zielserver auch DNSsec/DANE/TLSA nutzt. Wenn
nicht, tja, dann ist das alte Problem wieder da, oder?
Servus
Django
Mehr Informationen über die Mailingliste postfix-users