Hallo
Da ich mich nach wie vor mit DANE beschäftige ist mir ein kleineres Problem aufgefallen und frage mich wie ihr das löst. Vielleicht überlege ich gerade auch nur falsch.
Als Anleitung habe ich dies verwendet: https://forum.netcup.de/sonsti…ane-tlsa-mit-letsencrypt/
Im zusammenhang mit dieser Anleitung aber auch mit dem Test von https://dane.sys4.de ergeben sich für mich einfach noch Fragen wo ich nicht weiter komme.
Ich habe dies mal Testweise für ein Wildcard SSL Zertifikat gemacht, und habe den TLSA Eintrag auf _443._tcp.www. gesetzt. Beim Test von https://en.internet.nl ist es dann trotzdem nicht korrekt.Der Fehler ist "Your website domain does not contain a TLSA record for DANE.". Vielleicht muss ich auch einfach 24-48 Stunden warten bis die Einträge dort erkannt werden. Aber das ist ein anderes Thema
Was ich noch nicht ganz verstehe:
- Weshalb muss ich die TLSA Einträge für mein cert.pem von Let's Encrypt und auf das Let’s Encrypt Authority X3 (IdenTrust cross-signed)? Das erste ist mir ja noch logisch. Das zweite irgendwie nicht.
- Beim Test von sys4.de wird immer SMTP nicht erkannt. Ich gehe mal davon aus, weil mein SMTP Server nicht auf Port 25 lauscht? Falls dies so ist: Klappt DANE für den Webserver nur mit Port 25, oder ist dies einfach nur bei diesem Test von sys4 so?
- Reicht es für den Webserver den TLSA Eintrag nur auf _443._tcp und _443._tcp.JedeSubdomain zu legen, und für den Mailserver auf _993._tcp.mx und _587._tcp.mx? Oder habe ich damit etwas vergessen?
Ich hoffe die Fragen sind nicht ganz dämlich wie ich mir gerade vorkomme. Irgendwie sehe ich glaube ich einfach grad den Wald vor lauter Bäumen nicht.
Gruss
Oliver