Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:let_s_encrypt_-_tlsa-record_-_dane [2020/10/03 17:49] – [Überprüfung (IMAP)] klaus
+++ tachtler:let_s_encrypt_-_tlsa-record_-_dane [2023/01/04 08:00] (aktuell) – klaus
@@ Zeile 61: / Zeile 61: @@
 ===== Generierung TLSA-Records (SMTP) =====
-Nachfolgend sollen **zwei TLSA-Records** erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welche nach aktuellem Stand nur Zertifikate für **90 Tage** ausstellt. **Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.**
+Nachfolgend sollen **zwei TLSA-Records** erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welche nach aktuellem Stand nur Zertifikate für **90 Tage** ausstellt. **Dies würde es erforderlich machen, auch den TLSA-Record alle 90 Tage zu erneuern.**
+:!: **HINWEIS** - **Eine Erneuerung alle 90 Tage ist bei entsprechender Gestaltung des TLSA-Records __NICHT__ erforderlich!**
+Siehe auch den externen Link: [[https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022]]
+**Bei der Verwendung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten mit 90-tägigem Ablaufdatum ist darauf zu achten, dass**
+  * **__keine__ "3 0 1" und __keine__ "3 0 2" DANE TLSA-Datensätze veröffentlicht werden.**
+**Die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten führt zu einem neuen Zertifikats-Digest (Fingerprint) und macht die TLSA-Datensätze ungültig.**
+**Stattdessen sollten**
+  * **"3 1 1"- oder "2 1 1"-Datensätze**
+**wie im folgenden Abschnitt erläutert veröffentlicht werden.**
+**Bei "3 1 1"-Datensätzen müssen Sie sicherstellen, dass die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten kein neues Paar aus privatem und öffentlichem Schlüssel erzeugt, sondern dass bei künftigen Aktualisierungen des Zertifikats dasselbe Paar aus öffentlichem Schlüssel verwendet wird.**
 Damit nun, wenn einmal die **Erstellung eines neuen Zertifikats __nicht rechtzeitig__ erfolgt**, eine Art **"Fallback"**-Szenario existiert, soll auch ein **TLSA-Record für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA __zusätzlich__ erstellt werden.**
@@ Zeile 260: / Zeile 274: @@
 {{:tachtler:dane:dane.sys4.de.png| https://dane.sys4.de/}}
-* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-r3-cross-signed.pem.txt'' Zertifikats//
+* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 ===== Generierung TLSA-Records (IMAP) =====
@@ Zeile 395: / Zeile 409: @@
 <code>
-# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
+# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
-_993._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
+_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 </code>
 <code>
-# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
+# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
-_993._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code>
 **__und__**
 <code>
-# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
+# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
-_143._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
+_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 </code>
 <code>
-# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
+# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
-_143._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code>
@@ Zeile 415: / Zeile 429: @@
   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''
-  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''mx1.tachtler.net''
+  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''imap.tachtler.net''
   - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. Hier verwendet:\\
     * ''/tmp/lets-encrypt-r3-cross-signed.pem.txt''
@@ Zeile 422: / Zeile 436: @@
 Das **Ergebnis** ist der fertige **TLSA-Record**:
 <code>
-_993._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
+_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
-_993._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
-_143._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
+_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
-_143._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code>
@@ Zeile 434: / Zeile 448: @@
 _993._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 _993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
-_993._tcp.mx1.tachtler.net.  600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code>
 **__und__**
@@ Zeile 440: / Zeile 454: @@
 _143._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 _143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
-_143._tcp.mx1.tachtler.net.  600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
+_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code>
@@ Zeile 514: / Zeile 528: @@
 {{:tachtler:dane:www.huque.com_bin_danecheck.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net}}
-* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-r3-cross-signed.pem.txt'' Zertifikats//
+* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 **__und__**
 {{:tachtler:dane:www.huque.com_bin_danecheck_143.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net - STARTTLS}}
-* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-r3-cross-signed.pem.txt'' Zertifikats//
+* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 ===== Generierung TLSA-Records (HTTPS) =====