tls_dane_trust_anchor_digest_enable

django at nausch.org django at nausch.org
Mo Feb 16 16:05:16 CET 2015 

HI,

je öfter ich Wietses Doku[1] durchlese, umso mehr Zweifel hab ich, ob  
ich auch wirklich das richtige richtig gemacht habe. Im Abschnitt  
"Creating the server certificate file" schreibt er man könne bei  
Verwendung einer "kommerziellen" CA in der Zertifikats-Datei das  
RootCA weglassen, wenn der Sender (Kommunikationspartner) ebenfalls  
das Root-Zertifikat der CA vorrätig hat. Somit verringere sich der  
Aufwand beim TLS-Handshake.

Soweit so gut, bis hierhin passt es ja noch, oder?

Das bedeutet, nutze ich eine CA, bei der ich nicht sicher sein kann,  
ob der Kommunikattionspartner das zugehörige Root-Zertifikat auch  
vorrätig hat, packe ich demzufolge, neben dem Serverzertifikat, das  
Zwischenzertifikat und dann das Root-Zertifikat in die Zertifikatsdatei.

Richtig? really really?

In der verlinkten Doku[2] schreibt Wietse ferner: "RFC 6698  
trust-anchor digest support in the Postfix TLS library. Enable support  
for RFC 6698 (DANE TLSA) DNS records that contain digests of  
trust-anchors with certificate usage "2". In this case the certificate  
usage logically requires the server administrator to configure the  
server to include the trust-anchor certificate in the server's SSL  
certificate chain. If enough domains mess this up, you can disable  
support for these TLSA records, but you'll no longer have secure  
connections that get it right and only publish trust anchor records."

Watt meint er denn mit: "If enough domains mess this up, you can  
disable support for these TLSA records, but you'll no longer have  
secure connections that get it right and only publish trust anchor  
records."

Ich gehe mal davon aus, dass bei einem "3 0 1" im TLSA-Record von der  
von Wietses Thematik nicht betroffen bin, solange ich ein "offizielles  
Zertifikat" benutze, oder wie?

Nutze ich aber eine eigene CA, oder eben eine, bei der ich nicht  
sicher sein kann, ob der Kommunikationspartner" dem Root-Zertifikat  
vertraut, darf ich keinen "3 0 1"er verwenden, sondern muss auf "2 0  
1" setzen. Ferner muss ich im Zertifikatsfile im Postfix die komplette  
trustchain hinterlegen. Richtig?

Pffff, irgendwie steh ich grad an einem Punkt, an dem ich nicht 100%  
weiß, hab ich das TLSA-Zeugs nun richtig verstanden, oder nicht.  
Vielleicht hat JODA ja Rat für mich. ;)


Servus
Django















[1] http://www.postfix.org/TLS_README.html
[2] http://www.postfix.org/postconf.5.html#tls_dane_trust_anchor_digest_enable

Mehr Informationen über die Mailingliste postfix-users