Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:let_s_encrypt_-_tlsa-record_-_dane [2023/01/04 07:52] – [Generierung TLSA-Records (SMTP)] klaus
+++ tachtler:let_s_encrypt_-_tlsa-record_-_dane [2023/01/04 08:00] (aktuell) – klaus
@@ Zeile 65: / Zeile 65: @@
 :!: **HINWEIS** - **Eine Erneuerung alle 90 Tage ist bei entsprechender Gestaltung des TLSA-Records __NICHT__ erforderlich!**
-Siehe auch den externen Link:
+Siehe auch den externen Link: [[https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022]]
+**Bei der Verwendung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten mit 90-tägigem Ablaufdatum ist darauf zu achten, dass**
+  * **__keine__ "3 0 1" und __keine__ "3 0 2" DANE TLSA-Datensätze veröffentlicht werden.**
+**Die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten führt zu einem neuen Zertifikats-Digest (Fingerprint) und macht die TLSA-Datensätze ungültig.**
+**Stattdessen sollten**
+  * **"3 1 1"- oder "2 1 1"-Datensätze**
+**wie im folgenden Abschnitt erläutert veröffentlicht werden.**
+**Bei "3 1 1"-Datensätzen müssen Sie sicherstellen, dass die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten kein neues Paar aus privatem und öffentlichem Schlüssel erzeugt, sondern dass bei künftigen Aktualisierungen des Zertifikats dasselbe Paar aus öffentlichem Schlüssel verwendet wird.**
 Damit nun, wenn einmal die **Erstellung eines neuen Zertifikats __nicht rechtzeitig__ erfolgt**, eine Art **"Fallback"**-Szenario existiert, soll auch ein **TLSA-Record für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA __zusätzlich__ erstellt werden.**