Zitat von django@nausch.org:
HI!
Quoting lst_hoe02@kwsoft.de:
Wildcard Zertifikate sind PKI,
echt? ich dachte immer 'n wildcard-certificate ist 'n Zertifikat, wo 'n *. im CN steht. :)
dh. bei DANE/TLSA mit "Usage FIeld" 3 spielt das überhaupt keine Rolle.
Na ja, dann stell doch mal 'n wildcard-certifikat für einen MX ein und kuck Dir an was passiert. Anschließend stellst Du ein self-sign-certifikat ein und kuckst Dir jeweils die Ergebnisse bei tlsa.info an. Da mäkelt tlsa.info rum, dass es "nur ein non-trused" ist, und genau das meinte ich!
Die Details hab ich mir tatsächlich nicht angesehen. Aber falls bei "Usage Field" = 3 der TLSA Test wegen selbst signierten Zertifikaten "warnt" sollte man überlegen ob das nicht eher "info" wäre. Könnte allerdinsg auch daran liegen das self-signed oft als root CA Zertifikat interpretiert wird und eine Sonderbehandlung erfährt. Hast du mal getestet was passiert wenn ein selbst erstelltes von einer privaten root-CA signiertes Zertifikat verwendet wird??
Kannst Dir ja mal die Details zu nausch.org bei tlsa.info ansehen. Der 2te Eintrag ist "rot" hinterlegt, da da dies ein CAcert Zertifikat ist und von sys4.de als untrusted gewertet wird. Das grün markierte ist ein wildcard-Certificat, dessen Root CA sys4.de als vertrauenswürdig einstuft.
Eigentlich würde ich ja erwarten, dass auch ein wildcard als grundsätzlich problematisch gewertet werden würde, wenn ich Victor's "Vorgaben" beachte.
Wo wird die Vorgabe gemacht das Wildcard Zertifikate für TLSA kritisch sind? Ich bin immer noch der Meinung das DANE/TLSA genau diese Probleme lösen kann und soll...?
Das Orange für nausch.org kommt eher daher das der zweite MX "20 mx1.tachtler.net" keinen TLSA Record hat, bzw. tachtler.net nicht per DNSSEC gesichert ist.
;) Das ist mir schon klar. Der Kolleg eist noch nicht soweit ... :) GAnz auf der Brennsubbm bin ich ja auch nicht daherschwommn!
Was immer das heißen mag...
Gruß
Andreas