HI!
Quoting lst_hoe02@kwsoft.de:
Wildcard Zertifikate sind PKI,
echt? ich dachte immer 'n wildcard-certificate ist 'n Zertifikat, wo 'n *. im CN steht. :)
dh. bei DANE/TLSA mit "Usage FIeld" 3 spielt das überhaupt keine Rolle.
Na ja, dann stell doch mal 'n wildcard-certifikat für einen MX ein und kuck Dir an was passiert. Anschließend stellst Du ein self-sign-certifikat ein und kuckst Dir jeweils die Ergebnisse bei tlsa.info an. Da mäkelt tlsa.info rum, dass es "nur ein non-trused" ist, und genau das meinte ich!
Kannst Dir ja mal die Details zu nausch.org bei tlsa.info ansehen. Der 2te Eintrag ist "rot" hinterlegt, da da dies ein CAcert Zertifikat ist und von sys4.de als untrusted gewertet wird. Das grün markierte ist ein wildcard-Certificat, dessen Root CA sys4.de als vertrauenswürdig einstuft.
Eigentlich würde ich ja erwarten, dass auch ein wildcard als grundsätzlich problematisch gewertet werden würde, wenn ich Victor's "Vorgaben" beachte.
Das Orange für nausch.org kommt eher daher das der zweite MX "20 mx1.tachtler.net" keinen TLSA Record hat, bzw. tachtler.net nicht per DNSSEC gesichert ist.
;) Das ist mir schon klar. Der Kolleg eist noch nicht soweit ... :) GAnz auf der Brennsubbm bin ich ja auch nicht daherschwommn!
Pfiade Django