HI,

je öfter ich Wietses Doku[1] durchlese, umso mehr Zweifel hab ich, ob ich auch wirklich das richtige richtig gemacht habe. Im Abschnitt "Creating the server certificate file" schreibt er man könne bei Verwendung einer "kommerziellen" CA in der Zertifikats-Datei das RootCA weglassen, wenn der Sender (Kommunikationspartner) ebenfalls das Root-Zertifikat der CA vorrätig hat. Somit verringere sich der Aufwand beim TLS-Handshake.

Soweit so gut, bis hierhin passt es ja noch, oder?

Das bedeutet, nutze ich eine CA, bei der ich nicht sicher sein kann, ob der Kommunikattionspartner das zugehörige Root-Zertifikat auch vorrätig hat, packe ich demzufolge, neben dem Serverzertifikat, das Zwischenzertifikat und dann das Root-Zertifikat in die Zertifikatsdatei.

Richtig? really really?

In der verlinkten Doku[2] schreibt Wietse ferner: "RFC 6698 trust-anchor digest support in the Postfix TLS library. Enable support for RFC 6698 (DANE TLSA) DNS records that contain digests of trust-anchors with certificate usage "2". In this case the certificate usage logically requires the server administrator to configure the server to include the trust-anchor certificate in the server's SSL certificate chain. If enough domains mess this up, you can disable support for these TLSA records, but you'll no longer have secure connections that get it right and only publish trust anchor records."

Watt meint er denn mit: "If enough domains mess this up, you can disable support for these TLSA records, but you'll no longer have secure connections that get it right and only publish trust anchor records."

Ich gehe mal davon aus, dass bei einem "3 0 1" im TLSA-Record von der von Wietses Thematik nicht betroffen bin, solange ich ein "offizielles Zertifikat" benutze, oder wie?

Nutze ich aber eine eigene CA, oder eben eine, bei der ich nicht sicher sein kann, ob der Kommunikationspartner" dem Root-Zertifikat vertraut, darf ich keinen "3 0 1"er verwenden, sondern muss auf "2 0 1" setzen. Ferner muss ich im Zertifikatsfile im Postfix die komplette trustchain hinterlegen. Richtig?

Pffff, irgendwie steh ich grad an einem Punkt, an dem ich nicht 100% weiß, hab ich das TLSA-Zeugs nun richtig verstanden, oder nicht. Vielleicht hat JODA ja Rat für mich. ;)

Servus Django

[1] http://www.postfix.org/TLS_README.html [2] http://www.postfix.org/postconf.5.html#tls_dane_trust_anchor_digest_enable