Moin zusammen,
ich setze seit rund anderthalb Jahren DANE ein, was bislang auch recht problemlos funktioniert hat. Die Zertifikate liefert letsencrypt, und sobald ein neues Zertifikat erstellt wurde, rotiert ein Skript die TLSA-Records in den betroffenen Zonefiles meiner beiden Domains. So weit, so gut.
Seit Sonntag funktioniert das aber nur noch bei einer Domain, bei der anderen werden die TLSa-Records nicht mehr gefunden:
$ dig _443._tcp.syncookie.de IN TLSA @ormanns.net +short:
3 1 1 4F5FF30E3A1B43A88224689922E95B42305F422DBC7E42FE53B36CEE 8D1E9EC1
"$ dig _443._tcp.ormanns.net IN TLSA @ormanns.net +short" liefert hingegen nichts, und lasse ich "+short" weg, sehe ich, dass die Ausgabe ein NXDOMAIN ausspuckt.
Also schaue ich ins Zonefile. Dieses enthält u.a. folgende Records
ZitatAlles anzeigen_25._tcp.mail.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
_443._tcp.mail.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
_443._tcp.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
_443._tcp.www.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
_465._tcp.mail.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
_587._tcp.mail.ormanns.net. IN TLSA 3 1 1 9006b2b49d744761b5f27ffe9cb50d19ff2882ed04966e12780012a57e28204a
Sieht für mich soweit erstmal okay aus, aber vielleicht hat das Zonefile ja einen anderen Fehler?
# named-checkzone ormanns.net /var/cache/bind/ormanns.net.zone
zone ormanns.net/IN: loaded serial 2018101744
OK
Das Zonefile scheint also auch zu passen. Mir gehen gerade ein bisschen die Ideen aus, wo ich noch ansetzen könnte - ich wäre daher für Input dankbar.
Beste Grüße,
Aleph
Nachtrag: bei mir läuft bind-9.14.8