Hallo Walter,
bevor ich in die falsche Richtung losrenne: Das würde nicht mit der DANE RFC übereinstimmen, die sogar als Motivation angibt, die Validätskette über CAs lieber durch DNSSEC abgebildet zu sehen. Entsprechend können komplett Selbstzertifizierte Zertifikate genutzt werden.
Ich habe trotzdem die CAs angeschaut:
Zum einen nutzt havedane.net ein Selbstzertifiziertes, das erklärt auch das "Untrusted".
Zum anderen habe ich einen Test mit web.de (Diese haben DANE eingerichtet) gemacht. Dafür habe ich sicher die CA und ich bekomme auch eine "Trusted" Verbindung, jedoch nicht eine "Verified".
Entsprechend scheint die reguläre Verbindung zu funktionieren, jedoch der DANE Test nicht. Ich kann auch nirgendwo in den Logs etwas finden, dass auf einen Fehler hindeuten würde.
Am Samstag, den 11.04.2020, 18:03 +0200 schrieb Walter H.:
Hallo,
On 11.04.2020 14:35, Christian wrote:
Bei DANE hätte ich nun erwartet, dass dies keine, bzw. geringere Rolle
spielt.
genau das ist ein Fehler, den viele machen; DANE ist nur ein Add-on, das
bereits valididierte zu verifizieren;
Es soll ja nun die Validität des Zertifikats durch den DNSSEC
gesicherten TLSA Eintrag geprüft werden. Und das scheint irgendwie
nicht zu funktionieren?
hast Du geprüft, ob auch sämtliche notwendigen Zertifikate im
ca-certificate file sind?
(z.B CentOS meinte beim Update ich denke es war von 6.8 auf 6.9 da so
ziemlich alles wegzuwerfen, und es blieb gerade mal ¼ vom urspr. übrig)