SMTP / DANE / TLSA - Let's Encrypt wechselt seine Intermediate-CA

  • Let's Encrypt wechselt seine Intermediate-CA.

    Wer seinen (SMTP-)Mailserver mit DANE / TLSA unter Verwendung der Let's Encrypt X3 CA gepinnt hat, sollte jetzt handeln und zumindest die R3-CA ergänzen:


    https://community.letsencrypt.…ng-le-issuer-certs/134172


    pasted-from-clipboard.png


    Derzeit ist bei den meisten vermutlich nur die X3-CA in Verwendung, folgende TLSA-Records empfiehlt es sich zu ergänzen:


    X3 _25._tcp.each.mx.host. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
    X4 _25._tcp.each.mx.host. IN TLSA 2 1 1 b111dd8a1c2091a89bd4fd60c57f0716cce50feeff8137cdbee0326e02cf362b
    E1 _25._tcp.each.mx.host. IN TLSA 2 1 1 276fe8a8c4ec7611565bf9fce6dcace9be320c1b5bea27596b2204071ed04f10
    E2 _25._tcp.each.mx.host. IN TLSA 2 1 1 bd936e72b212ef6f773102c6b77d38f94297322efc25396bc3279422e0c89270
    R3 _25._tcp.each.mx.host. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
    R4 _25._tcp.each.mx.host. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
  • Optionaler Optimierungsvorschlag: Wer die vorgenannten Zertifikate nicht für den Mail- sondern auch für den Webserver einsetzt, kann mit Wildcards für Portangaben der Form "*._tcp[[.subsubdomain].subdomain]" arbeiten (das ist das Format, wie es in der ersten Spalte im CCP verwendet werden muss, da hier die ".domain." automatisch ergänzt wird – Angaben in eckigen Klammern sind wie üblich als optional zu lesen).

    Sollen mehrere Unterdomänen und evtl. noch verschiedene Hashes (SHA-256 wie oben gezeigt oder etwa SHA-512) abgedeckt werden, empfiehlt sich ggf. zwecks Minimierung der DNS-Einträge, alle individuellen "3 1 n"-Zertifikatshashes (1≤n≤2) zusammen mit den teilweise bereits obengenannten "2 1 n"-CA-Hashes bspw. unter "_tcp"-Einträgen abzulegen, und betreffende Unterdomänen via "*._tcp[.subdomain] CNAME _tcp.domain.tld" (wiederum CCP-Notation) zu verknüpfen.