HI Andreas!
Quoting lst_hoe02@kwsoft.de:
Die Details hab ich mir tatsächlich nicht angesehen.
Dachte ich mir schon, hatte mich ja auch "unscharf" ausgedrückt. ;)
Aber falls bei "Usage Field" = 3 der TLSA Test wegen selbst signierten Zertifikaten "warnt" sollte man überlegen ob das nicht eher "info" wäre.
Das wiederum könnte p@rick oder Robert von der sys4 sicherlich beantworten - wir können nur spekulieren. ;)
Könnte allerdinsg auch daran liegen das self-signed oft als root CA Zertifikat interpretiert wird und eine Sonderbehandlung erfährt. Hast du mal getestet was passiert wenn ein selbst erstelltes von einer privaten root-CA signiertes Zertifikat verwendet wird??
Nein, aber ich denke das würde genauso bewertet werden, wie ein von cacert.org signiertes Zertifikat.
Wo wird die Vorgabe gemacht das Wildcard Zertifikate für TLSA kritisch sind?
Wildcard sind für TLSA nicht kritisch, sondern generell, so sagt es zumindestens Viktor Dukhovni hier: http://www.ietf.org/mail-archive/web/dane/current/msg06294.html Am Ende der eMail: " ... Avoid wildcard certs, they may allow MITM attackers to redirect connections to the wrong hosts."
Ich bin immer noch der Meinung das DANE/TLSA genau diese Probleme lösen kann und soll...?
Tja, aber "nur" wenn der Zielserver auch DNSsec/DANE/TLSA nutzt. Wenn nicht, tja, dann ist das alte Problem wieder da, oder?
Servus Django