DANE auf dem Webhosting aktivieren

    Hallo,


    wie kann ich DANE auf dem Webhosting aktivieren. Wie komme ich an das Zertifikat, um den Hashwert zu generieren?

    Hi,

    das mit DANE auf einem Webhosting muss man differenziert betrachten:

    Falls es dir um DANE im Zusammenhang mit HTTPS geht (Webanwendung/Website) bist du entweder bereits im Besitz des Zertifikats, weil du es ja in Plesk hochladen musst. Oder falls du Let'sEncrypt nutzt kannst du es im WCP unter SSL-Zertifikate im PEM-Format sehen und zum Hash bilden benutzen.


    Falls du DANE für den E-Mail Transport meinst, muss ich dich leider enttäuschen, das geht mit einem Netcup Webhosting nicht.

    Hintergrund:

    Du kannst bei deiner Domain folgenden MX-Eintrag anlegen:

    Code
    @     MX 10 mail.deinedomain.de
mail  A     1.2.3.4

    Dann steht hinter 1.2.3.4 aber ein Netcup-Mailserver, welcher sich mit seinem Hostname "mx000.netcup.net" samt Zertifikat meldet und du hast einen Hostname-Mismatch mit dem Zertifikat. Das ist nicht im Sinne einer vernünftigen TLS Verbindung und dann macht DANE keinen Sinn.

    Oder du legst folgenden MX-Eintrag an:

    Code
    @ MX  10 mx000.netcup.net

    Dann würden MX-Eintrag, Hostname und Zertifikat zusammenpassen, also soweit so gut. Aber dann müsste sich dein TLSA-Record für DANE auch in der Zone von netcup.net befinden, auf die du keinen Zugriff hast.


    ...geht also nicht.


    Viele Grüße

    marpri


    //EDIT: Mir ist durchaus bewusst, dass man bei DANE theoretisch jedes Zertifikat nehmen kann, auch self-signed etc. solange man den Hash per TLSA im DNS pinnt. Ich finde aber, man sollte Hostname-Mismatches vermeiden, da man ansonsten in meinen Augen den gesamten Sinn dieser Zertifikate und CA's untergräbt.

    Hallo marpi,


    danke für deine ausführliche Antwort.

    Habe vergessen zu erwähnen, dass ich noch das alte WCP nutze. Wo kann ich hier das Zertifikat von LE einsehen?


    Wenn netcup auf ihren Mailservern DANE unterstützen würde, reicht es nicht einfach, wenn ich den MX-Record entsprechend auf den Hostname setze?

    Warum wird in den Standard Records bei der Domain der Mailserver mit MAILSERVER.netcup.net als Prio 50 und mail.DOMAIN.TLD mit Prio 10 eingetragen? Warum nicht einfach MAILSERVER.netcup.net und gut ist?

    Hallo Georg,


    mit dem alten WCP habe ich nie zutun gehabt, daher kann ich dir das leider nicht sagen. Du kannst aber das Zertifikat auch unter https://crt.sh herunterladen.

    Gib dazu auf der Seite deine Domain ein, such das aktuellste Zertifikat, klicke links auf die Cert-ID und dann auf der linken Seite auf "Download CRT"


    Zitat von Georg

    [...] MAILSERVER.netcup.net als Prio 50 und mail.DOMAIN.TLD mit Prio 10 eingetragen?

    Das ist tatsächlich echt unschön gelöst von Netcup, habe ich schon mal angesprochen: https://forum.netcup.de/anwend…n/?postID=99282#post99282


    Warum Netcup das so macht erschließt sich mir auch nicht. Wenn man sie darauf anspricht bekommt man immer nur allgemeine und ausweichende Antworten. Ich entferne den mail.domain.tld-MX-Record immer, hatte damit noch keine Probleme.


    Viele Grüße

    marpri