Problem mit Let's Encrypt; DANE

    Hallo,


    ich habe den Webhosting 16 Years-Tarif und wollte DANE für E-Mails einrichten.

    Dazu benötige ich ja ein Let's Encrypt-Zertifikat.

    Und hier gibt es auch schon das erste Problem, ich habe ein Let's Encrypt-Zertifikat im WCP beantragt und dieses wird auch bei SSL/TLS-Zertifikate angezeigt und bei den Hosting-Einstellungen ist es auch ausgewählt. Allerdings, wenn ich auf die Website gehe, kommt eine Sicherheitsmeldung "Fehlercode: SEC_ERROR_UNKNOWN_ISSUER".

    Bei Kostenloses SSL-Zertifikat bei den Domains (CCP) ist auch nur der Hinweis, dass man das Zertifikat bei Let's Encrypt einstellen kann.

    Muss man zum Aktivieren des Let's Encrypt-Zertifikats noch irgendetwas anderes machen?


    Wenn dann das Let's Encrypt-Zertifikat funktioniert, wie kann ich dann DANE aktivieren?

    Geht dies dann automatisch, wie hier geplant https://www.netcup-news.de/201…ert-automatisches-dnssec/?

    Ansonsten müsste ich ja bei DNS TLSA einstellen und dann den Hashwert eintragen, wie hier gezeigt https://forum.netcup.de/sonsti…ane-tlsa-mit-letsencrypt/.


    Vielleicht kann mir ja hier jemand helfen.

    Danke schon im Voraus!

    Hay,


    Ich schätze, das läuft im WCP so wie bei mir auf dem root-Server mit plesk - also in der Regel anklicken, Häckchen bei www rein, Button drücken und glücklich sein.


    Wenn die betreffende Domain gerade umgezogen wurde (z.B. auf das neue Webhosting mit neuer IP-Adresse), dann dauert es immer etwas, bis die Nameserver sich synchronisiert haben. In der Zeit funktioniert die Anforderung an Lets Encrypt auch noch nicht richtig.


    Sollte der Umzug aber schon längere Zeit erfolgt sein (oder kein Umzug, nur virtuellen Host angelegt, Domain extern) und solltest Du es direkt im Anschluß im selben Browserfenster versucht haben, dann gibt es den Fall, dass der Browser noch das alte Cert gecached hat. In dem Fall mache ich ein privates Fenster (Firefox) auf, da wird nichts gecached, und rufe die Seite nochmals auf.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Hallo Peter,

    danke für die schnelle Antwort.


    Ich habe das Let's Encrypt-Zertifikat jetzt nochmal erneuert, jetzt funktioniert es. Danke!


    Ich versuche jetzt DANE einzurichten. Oder geht dies automatisch?

    Hay,


    DANE wird nicht automatisch eingerichtet, dass musst Du über das jeweilige Control-Tool für den DNS einrichten, also bei einem root-Server wäre das der CCP. Ich habe es selber noch nicht gemacht, aber hier im Forum gibt es eine Anleitung (die allerdings schon zwei Jahre alt ist, deswegen kann es in Details zu aktuellen Abweichungen kommen) eines anderen Users: https://forum.netcup.de/sonsti…ane-tlsa-mit-letsencrypt/


    Cu, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Hallo Peter,

    ich habe DANE (soweit es ging) nach der Anleitung eingerichtet und jetzt ca. 2 Tage gewartet.

    Jetzt wollte ich dies auf https://dane.sys4.de/ testen, dort steht allerdings, dass kein TLSA record gefunden wurde. (10 mail.*.de No TLSA records.

    50 mx*.netcup.net This MX host has been ignored due to a problem with a higher-priority host.)

    Und beim MECSA-Check steht auch bei DANE 0 und sogar bei DNSSEC 0, also scheint es nicht zu funktionieren.


    Ich habe auch mal eine Mail mit secure.mailbox.org mit dane-only gesendet und diese kommt zurück, da kein TLSA record gefunden wird.


    Muss ich noch irgendetwas anderes einstellen?