31 Jan
2015
31 Jan
'15
2:08 p.m.
* Patrick Ben Koetter p@sys4.de:
Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs beider Certs zur selben Zeit (!) veröffentlichen. Die Specs für DANE besagen, es dürfen zeitgleich mehrere TLSA RRs veröffentlicht sein und es genügt wenn mindestens einer passt.
Es macht übrigens Sinn, sich den Selektor anzusehen - bei einer "1" geht der ja auf den Public Key. Wenn man den nicht ändert (z.B. bei einem Standard-Renewal mit selbem Key, weil das alte Zertifikat ausläuft), dann wird der sich nicht ändern.
Stefan