SMTP / DANE / TLSA - Let's Encrypt wechselt seine Intermediate-CA

  • Let's Encrypt wechselt seine Intermediate-CA.

    Wer seinen (SMTP-)Mailserver mit DANE / TLSA unter Verwendung der Let's Encrypt X3 CA gepinnt hat, sollte jetzt handeln und zumindest die R3-CA ergänzen:


    https://community.letsencrypt.…ng-le-issuer-certs/134172


    pasted-from-clipboard.png


    Derzeit ist bei den meisten vermutlich nur die X3-CA in Verwendung, folgende TLSA-Records empfiehlt es sich zu ergänzen:


    X3 _25._tcp.each.mx.host. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
    X4 _25._tcp.each.mx.host. IN TLSA 2 1 1 b111dd8a1c2091a89bd4fd60c57f0716cce50feeff8137cdbee0326e02cf362b
    E1 _25._tcp.each.mx.host. IN TLSA 2 1 1 276fe8a8c4ec7611565bf9fce6dcace9be320c1b5bea27596b2204071ed04f10
    E2 _25._tcp.each.mx.host. IN TLSA 2 1 1 bd936e72b212ef6f773102c6b77d38f94297322efc25396bc3279422e0c89270
    R3 _25._tcp.each.mx.host. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
    R4 _25._tcp.each.mx.host. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
  • Optionaler Optimierungsvorschlag: Wer die vorgenannten Zertifikate nicht für den Mail- sondern auch für den Webserver einsetzt, kann mit Wildcards für Portangaben der Form "*._tcp[[.subsubdomain].subdomain]" arbeiten (das ist das Format, wie es in der ersten Spalte im CCP verwendet werden muss, da hier die ".domain." automatisch ergänzt wird – Angaben in eckigen Klammern sind wie üblich als optional zu lesen).

    Sollen mehrere Unterdomänen und evtl. noch verschiedene Hashes (SHA-256 wie oben gezeigt oder etwa SHA-512) abgedeckt werden, empfiehlt sich ggf. zwecks Minimierung der DNS-Einträge, alle individuellen "3 1 n"-Zertifikatshashes (1≤n≤2) zusammen mit den teilweise bereits obengenannten "2 1 n"-CA-Hashes bspw. unter "_tcp"-Einträgen abzulegen, und betreffende Unterdomänen via "*._tcp[.subdomain] CNAME _tcp.domain.tld" (wiederum CCP-Notation) zu verknüpfen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Seit heute liefert Let's encrypt das neue R3 Intermediate aus. Auch bei Zertifikat renew (ohne dass man das unbedingt merkt). Also husch, husch DANE aktualisieren!


    Mit dehydrated als ACME Client habe ich beim Renew das neue R3, das vom DST Root gezeichnete wurde, bekommen. Also noch nicht des Let's encrypt Root. Die Umstellung ist erst für Januar geplant.

  • [...] empfiehlt sich ggf. zwecks Minimierung der DNS-Einträge [...]

    Vielen Dank! Funktioniert super. Muss aber unbedingt dran denken das ordentlich zu dokumentieren. Bei meinem Gewurschtel weiß ich in ein paar Wochen schon nicht mehr, was ich da wieso gemacht habe und muss mich erst wieder ewig einarbeiten :/

    Und wieder kommt mein Wunsch, im DNS Panel Kommentare anbringen zu können. Alleine schon zum Beschriften, welche Zeile für welches Zertifikat steht...

  • Alleine schon zum Beschriften, welche Zeile für welches Zertifikat steht...

    Du kannst f. alle Zertifikate den selben Private-Key verwenden, damit wären dann alle TLSA-Einträge CNAMEs auf einen Basis-Eintrag

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hallo Stefan,


    bei mir validiert der DANE-Test;


    wobei er hat einen Designfehler: wird bei meinem Setup schlagend, weil ich DNSSEC nur bei meiner "Help"-Domain aktiv habe, und dort auch TLSA f. SMTP gesetzt sind, und genau dieser SMTP-Server ist als MX-Eintrag bei meinen anderen Domains, und das wird gleich gar nicht geprüft; da kommt automatisch

    DNSSEC: Insecure Domain.

    kann man darüber philosophieren ob das so gedacht ist oder nicht;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Guten Morgen Walter,


    erstmal ein Dankeschön für Deinen Input.


    Code
    Usable TLSA Records
    3, 1, 1 daa4e6e69ad7588e[...]3376d613d9b112c4
    2, 1, 1 8d02536c887482bc[...]db5813dcfbcf286d - unable to get local issuer certificate: (20)


    Ich musste das neue R3 Intermediate Zertifikate erst manuell einpflegen (Arch Linux).

    Habe es wohl vergessen, dass ich es mit dem X3 auch machen musste - oder nicht ...


    Code
    Usable TLSA Records
    2, 1, 1 8d02536c887482bc[...]db5813dcfbcf286d
    3, 1, 1 daa4e6e69ad7588e[...]3376d613d9b112c4


    Soweit gemacht und die o.g. Backups mit hinzugenommen.


    Euch einen schönen 3. Advent!


    VG Stefan