Outgoing DANE ignoriert fehlerhafte DANE Einträge

[Christian]

Hallo Walter,
bevor ich in die falsche Richtung losrenne: Das würde nicht mit der
DANE RFC übereinstimmen, die sogar als Motivation angibt, die
Validätskette über CAs lieber durch DNSSEC abgebildet zu sehen.
Entsprechend können komplett Selbstzertifizierte Zertifikate genutzt
werden.
Ich habe trotzdem die CAs angeschaut:Zum einen nutzt havedane.net ein
Selbstzertifiziertes, das erklärt auch das "Untrusted".
Zum anderen habe ich einen Test mit web.de (Diese haben DANE
eingerichtet) gemacht. Dafür habe ich sicher die CA und ich bekomme
auch eine "Trusted" Verbindung, jedoch nicht eine "Verified".
Entsprechend scheint die reguläre Verbindung zu funktionieren, jedoch
der DANE Test nicht. Ich kann auch nirgendwo in den Logs etwas finden,
dass auf einen Fehler hindeuten würde.


Am Samstag, den 11.04.2020, 18:03 +0200 schrieb Walter H.:
> Hallo,
> On 11.04.2020 14:35, Christian wrote:
>
> Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere
> Rolle spielt.genau das ist ein Fehler, den viele machen; DANE ist nur
> ein Add-on, das bereits valididierte zu verifizieren;
> Es soll ja nun die Validität des Zertifikats durch den DNSSEC
> gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie
> nicht zu funktionieren?
> hast Du geprüft, ob auch sämtliche notwendigen Zertifikate im ca-
> certificate file sind?(z.B CentOS meinte beim Update ich denke es war
> von 6.8 auf 6.9 da so ziemlich alles wegzuwerfen, und es blieb gerade
> mal ¼ vom urspr. übrig)
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://de.postfix.org/pipermail/postfix-users/attachments/20200411/269ab668/attachment.htm>