TLSA: DNS ttl und revoced certs

Stefan Förster cite at incertum.net
Sa Jan 31 14:08:01 CET 2015


* Patrick Ben Koetter <p at sys4.de>:
> Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs
> beider Certs zur selben Zeit (!) veröffentlichen. Die Specs für DANE besagen,
> es dürfen zeitgleich mehrere TLSA RRs veröffentlicht sein und es genügt wenn
> mindestens einer passt.

Es macht übrigens Sinn, sich den Selektor anzusehen - bei einer "1" geht
der ja auf den Public Key. Wenn man den nicht ändert (z.B. bei einem
Standard-Renewal mit selbem Key, weil das alte Zertifikat ausläuft),
dann wird der sich nicht ändern.


Stefan


Mehr Informationen über die Mailingliste postfix-users