Hallo!
Nach dieser Anleitung unter https://forum.netcup.de/sonsti…ane-tlsa-mit-letsencrypt/ habe ich TLSA-records erstellt.
Benutze ich den Validator von sys4.de, bekomme ich "No TLSA records."
Hat jemand einen Tip für mich, was schief läuft? Ich meine, die records sind richtig eingetragen und die Hashes mit dem aktuellen Zertifikat erstellt.
Grüße
Andreas
Wie lange ist die Erstellung des Records her? DNS-Änderungen benötigen bis zu 48h bis sie weltweit bekannt sind.
LG
Alex
Der Hinweis betreffend "48 Stunden warten" betrifft nur externe Resolver. Die authoritativen Nameserver der Domain müssen die Änderung sofort bereitstellen - sie tun es jetzt um 11:30 geprüft jedoch nicht, somit liegt kein "du musst warten" Problem vor sondern die Einträge sind schlicht nicht vorhanden.
Deine TLSA Records für ipv6help.de - sind nicht vorhanden, zum Vergleich auch die korrekte Ausgabe meiner hitco.at Domain:
root@nc:~# dig +short _25._tcp.mx01.ipv6help.de TLSA @third-dns.netcup.net
root@nc:~# dig +short _25._tcp.mx01.ipv6help.de TLSA @second-dns.netcup.net
root@nc:~# dig +short _25._tcp.mx01.ipv6help.de TLSA @root-dns.netcup.net
root@nc:~# dig +short _25._tcp.nc.hitco.at TLSA @localhost
2 1 1 60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517 616E8A18
3 1 1 CD54CE5770B29860600F1E7CE3368352975C01E39BC55C46AF4A32B7 73D209B5
root@nc:~# dig +short _25._tcp.nc.hitco.at TLSA @ncs.hitco.at
3 1 1 CD54CE5770B29860600F1E7CE3368352975C01E39BC55C46AF4A32B7 73D209B5
2 1 1 60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517 616E8A18Zur Frage "Wildcard-Zertifikat": Mit TLSA pinnst Du je nach verwendetem Selector einen Zertifikats-Fingerprint oder einen PublicKey-Fingerprint. Ich würde dir empfehlen den PublicKey-Fingerprint zu verwenden, dann kannst Du nämlich unter Verwendung eines gleichbleibenden CSR bei LetsEncrypt neue Zertifikate anfordern ohne jedes mal den TLSA-Eintrag ändern zu müssen. Wie der Antragsteller oder SubjectAlternativeName Eintrag im Zertifikat selbst lautet ist für TLSA/DANE egal, der kann auch völlig unpassend sein.
Ausführliches HowTo: https://hitco.at/blog/sicherer…ste-anbieter-dnssec-dane/
Sowie Hinweis betreffend CSR/LetsEncrypt: https://hitco.at/blog/lets-encrypt-csr/
Nochmals bezugnehmend auf die Wildcard-Frage: Ja, das *.ipv6help.de Zertifikat das Du aktuell unter https://mx01.ipv6help.de/ verwendest kannst Du auch für Deinen Mailserver verwenden. In Bezug auf DANE/TLSA sowieso, aber auch in Bezug auf einfache STARTTLS-SMTP MTA zu MTA Kommunikation ohne DANE.
gunnarh klar, habe diese auch gerade definiert; bin nicht der OP;
habe mich nur inspirieren lassen, ebenfalls TLSA f. meinen incoming-mail zu definieren;
interessanterweise
liefert zu Hause
host -t _25._tcp.mx01.ipv6help.de
bereits etwas, am vServer (vervendet die netcup resolver) aber noch nicht;
mainziman danke für den Hinweis, habe nicht bemerkt das Du nicht der OP bist.
für ipv6help.de sind die TLSA Records inzwischen bei allen 3 authoritativen Servern korrekt abrufbar und auch https://dane.sys4.de/smtp/ipv6help.de meldet alles OK.
Was die Beobachtung "Resolver von Netcup liefern die TLSA-Records noch nicht" angeht folgende Mutmaßung:
ok, gut zu wissen, es richtig gemacht zu haben; aber irgendwie hackt es dann beim OP, weil so flott wie das bei mir ging,
sollte es doch grundsätzlich gehen;
das mit den Resolvern wäre plausibel; wobei ein Unterschied, zu Hause betreibe ich meinen eigenen Resolver weil ich da etwas spezielles "reinhacke"
Deutsch
