Re: Outgoing DANE ignoriert fehlerhafte DANE Einträge

[Walter H.]

Hallo,

On 11.04.2020 14:35, Christian wrote:
>
> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle 
> spielt.
genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das 
bereits valididierte zu verifizieren;
> Es soll ja nun die Validität des Zertifikats durch den DNSSEC 
> gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie 
> nicht zu funktionieren?
>
hast Du geprüft, ob auch sämtliche notwendigen Zertifikate im 
ca-certificate file sind?
(z.B CentOS meinte beim Update ich denke es war von 6.8 auf 6.9 da so 
ziemlich alles wegzuwerfen, und es blieb gerade mal ¼ vom urspr. übrig)