* django@nausch.org django@nausch.org:
Zwei kurze Fragen:
Welche Erfahrungswerte könnt Ihr mir denn TTL von TLSA-Records nennen?
Es ergibt Sinn, eine vergleichsweise kurze TTL zu verwenden, falls man eben mal gezwungen wäre ein Cert zu widerrufen.
Was macht man bei einem zurückgerufenen Zertifikat? Reicht es den TLSA-Record zu klöschen, oder gibt es da ähnlich wie bei DKIM 'nen besonderen Eintrag zum Kennzeichnen, das das Zertifikat/Schlüssel revoced wurde?
Um ein Zertifikat als gültiges DANE-Cert zu widerrufen, musst Du den betreffenden TLSA-Eintrag entfernen.
Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs beider Certs zur selben Zeit (!) veröffentlichen. Die Specs für DANE besagen, es dürfen zeitgleich mehrere TLSA RRs veröffentlicht sein und es genügt wenn mindestens einer passt.
Das ist auch praktisch, wenn man z.B. ein Cluster aus mehreren Hosts hat, die unterschiedliche Certs verwenden. (Eher ein Sonderfall, weil man meist dasselbe Cert auf allen Hosts im Cluster verwendet)
p@rick