<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;"><div>Hallo Walter,</div><div><br></div><div>bevor ich in die falsche Richtung losrenne: Das würde nicht mit der DANE RFC übereinstimmen, die sogar als Motivation angibt, die Validätskette über CAs lieber durch DNSSEC abgebildet zu sehen. Entsprechend können komplett Selbstzertifizierte Zertifikate genutzt werden.</div><div><br></div><div>Ich habe trotzdem die CAs angeschaut:</div><div>Zum einen nutzt havedane.net ein Selbstzertifiziertes, das erklärt auch das "Untrusted".</div><div><br></div><div>Zum anderen habe ich einen Test mit web.de (Diese haben DANE eingerichtet) gemacht. Dafür habe ich sicher die CA und ich bekomme auch eine "Trusted" Verbindung, jedoch nicht eine "Verified".</div><div><br></div><div>Entsprechend scheint die reguläre Verbindung zu funktionieren, jedoch der DANE Test nicht. Ich kann auch nirgendwo in den Logs etwas finden, dass auf einen Fehler hindeuten würde.</div><div><br></div><div><br></div><div><br></div><div>Am Samstag, den 11.04.2020, 18:03 +0200 schrieb Walter H.:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Hallo,</pre><pre><br></pre><pre>On 11.04.2020 14:35, Christian wrote:</pre><pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"></blockquote></pre><pre><br></pre><pre>Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle </pre><pre>spielt.</pre><pre></pre><pre>genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das </pre><pre>bereits valididierte zu verifizieren;</pre><pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"></blockquote></pre><pre>Es soll ja nun die Validität des Zertifikats durch den DNSSEC </pre><pre>gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie </pre><pre>nicht zu funktionieren?</pre><pre><br></pre><pre></pre><pre>hast Du geprüft, ob auch sämtliche notwendigen Zertifikate im </pre><pre>ca-certificate file sind?</pre><pre>(z.B CentOS meinte beim Update ich denke es war von 6.8 auf 6.9 da so </pre><pre>ziemlich alles wegzuwerfen, und es blieb gerade mal ¼ vom urspr. übrig)</pre><pre><br></pre><pre><br></pre><pre><br></pre></blockquote></body></html>