vielen Dank für die Rückmeldung,
jetzt funktioniert es, nun kann ich unterbinden, dass die Wildcard-Zertifikate ausgestellt werden.
Vielen Dank!
vielen Dank für die Rückmeldung,
jetzt funktioniert es, nun kann ich unterbinden, dass die Wildcard-Zertifikate ausgestellt werden.
Vielen Dank!
Aber gerne, ein schönes Wochenende.
Freut mich, dass es jetzt funktioniert.
Haben Sie schon versucht für diese Domain ein Wildcard-Zertifikat auszustellen?
Super Sache! Grad eingerichtet.
Aber gerne, ein schönes Wochenende.
Freut mich, dass es jetzt funktioniert.
Haben Sie schon versucht für diese Domain ein Wildcard-Zertifikat auszustellen?
Gerade eben versucht, über Let's Encrypt ein Wildcard-Zertifikat auszustellen. Es sieht dann so aus:
An unexpected error occurred:
Error creating new cert :: Rechecking CAA: While processing CAA for test.domain.tld: CAA record for test.domain.tld prevents issuance
Please see the logfiles in /var/log/letsencrypt for more details.
Also es funktioniert perfekt mit CAA-Records.
Ihr seid echt klasse, liebes Netcup-Team!
EDIT:
Versuch für die Hauptdomain, ein Zertifikat über Let's Encrypt auszustellen, obwohl via CAA-Records untersagt:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for domain.tld
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. domain.tld (tls-sni-01): urn:acme:error:caa :: CAA record for domain.tld prevents issuance
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: domain.tld
Type: None
Detail: CAA record for domain.tld prevents issuance
Display More
Funktioniert auch wunderbar.
Gehen LE Wildcards schon???
Super Sache!
Bei der Gelegenheit bin ich auf folgende Seite gestoßen, die mir als CAA RR Neuling sehr geholfen hat:
Gehen LE Wildcards schon???
hoffentlich nicht ...
Hallo,
bei der Umsetzung des Flags scheint etwas schief gelaufen zu sein;
oder anders:
was sollte man bei folgendem Eintrag erwarten?
auf https://www.ssllabs.com zeigt er die 128 als 28 an;
ich habe eine weitere Domain, welche ich selbst auf meinem DNS hoste,
dort werden diese Flag-Werte obwohl im BIND ZONE-File so
definiert, gar nicht angezeigt ...
Nachtrag, ich habe das Problem eingegrenzt:
wenn so wie im ZONE-File definiert, dann liefert
dig domain type257 das
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> ### type257
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35203
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3
;; QUESTION SECTION:
;###. IN CAA
;; ANSWER SECTION:
###. 79305 IN CAA 128 issue "letsencrypt.org"
###. 79305 IN CAA 128 issuewild "\;"
###. 79305 IN CAA 128 iodef "mailto:caa-info@###"
;; AUTHORITY SECTION:
...
;; ADDITIONAL SECTION:
...
;; Query time: 0 msec
;; SERVER: 172.23.1.11#53(172.23.1.11)
;; WHEN: Sun Dec 10 22:00:54 2017
;; MSG SIZE rcvd: 265
Display More
hingegen bei den neuen CAA Einträgen wie hier:
liefert dig domain type257 das ...
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.4 <<>> ### type257
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23693
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;###. IN CAA
;; ANSWER SECTION:
###. 79148 IN CAA 0 28 "issueletsencrypt.org"
###. 79148 IN CAA 0 28 "issuewild\;"
###. 79148 IN CAA 0 28 "iodefmailto:caa-info@###"
;; AUTHORITY SECTION:
###. 59663 IN NS second-dns.netcup.net.
###. 59663 IN NS root-dns.netcup.net.
###. 59663 IN NS third-dns.netcup.net.
;; Query time: 0 msec
;; SERVER: 172.23.1.11#53(172.23.1.11)
;; WHEN: Sun Dec 10 22:03:12 2017
;; MSG SIZE rcvd: 233
Display More
Gehen LE Wildcards schon???
Hallo,
stimmt, mit Parameter 0 funktioniert es;
evtl. beim Format-Hinweis, den man bei einer ungültigen Destination des CAA Eintrags bekommt
nicht 0-256 sondern 0-255 ausgeben;
Ja OK, das war auch die Info, die ich hatte. Dachte aber es wäre doch schon vorgezogen worden
Habe nochmal nachgeschaut:
Test-API - 4. Jan
Launch - 27. Feb
[E]s ist vollbracht. Ab sofort liefern unsere DNS-Server auch CAA-Records aus[.]
Hallo Herr Preuß,
Ich erhalte folgenden Fehler bei versuchter "Report-URL"-Eintragung:
Fehler: Eintrag ungültig: @ CAA 0 0 iodef "http://meinedomäne.tld/caa-report" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-256 issue/issuewild/iodef "domain.tld"
RFC6844 spricht in diesem Zusammenhang lediglich von einem "URL". Auch wenn viele Beispiele keinen Pfad (der hier analog zu üblichen PKP-/CSP-Report-URLs verwendet werden soll) enthalten, wird er nicht explizit ausgeschlossen. Auch (bekanntere) Generatoren wie https://sslmate.com/caa/ nehmen hieran keinen Anstoß.
Es wäre schön, wenn sich die entsprechende Überprüfung im CCP noch anpassen ließe.
Hallo m_ueberall,
es wird nochmal ein update kommen bei dem dann critical flag 128 und die von ihnen gewünschte Anmerkung funktionieren soll. Verwenden Sie solange statt einer URL eine Email Adresse mit "mailto" davor. Das funktioniert schon jetzt.
Liebe Kunden,
Hallo mainziman,
Hallo m_ueberall,
vielen Dank für Ihre Anmerkungen und Analysen. Mit solch konkreten Hinweisen ist toll zu arbeiten.
Eine positive Nachricht:
Sie können nun auch den Wert 128 als Flag in CAA Records verwenden.
Die Fehlermeldung wurde von 256 auf 255 korrigiert.
Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall)
Als Tags akzeptieren wir weiterhin issue/issuewild/iodef. Im RFC ist Platz für Erweiterungen vorgesehen. Wir implementieren diese dann nach Bedarf.
Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?
Habe soeben bei einer meiner Domains den Wert 0 auf 128 geändert;
und ein
dig domain type257
liefert das erwartete Ergebnis;
[...]
Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall)
[...]
Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?
Ja, die erneute Eingabe von @ CAA [0] 0 iodef "https://meinedomäne.tld/caa-report" wurde nun wie erwartet akzeptiert, herzlichen Dank!
mfg M. Ueberall
Vielen Dank für die Rückmeldung