Das längste Thema

  • Die Telekom ist ja manchmal schon abnormal unfähig:

    "Tut mir leid mein PC spinnt etwas, wir haben heute Windows Updates gemacht, da ist das immer so."

    "Irgendwie kann ich das in meiner Simulation nicht testen"

    "Sie sind der erste Kunde mit diesem Problem" (Problem gibts laut telekomhilft Einträgen seit 2 Jahren)

    "Mein Vorgesetzter hat auch keine Ahnung."

    "Ich leite sie mal weiter. Geben Sie mir noch ihre Daten, damit wir alles protokollieren können."

    -

    "Ich brauche einmal ihre Kundennummer oder Telefonnummer."

    "Was ist jetzt das Problem?"

    "Ich habe da auch noch keine Erfahrung mit. Tut mir leid."

  • o2 Support ist mindestens genauso dämlich

  • margau : Anmerkung zu Deiner Anleitung; der Grund wieso man bei LE kein Wildcard so bekommt, wie man bei anderen CAs, d.h. der CN=*.example.com und

    die x509v3 SAN Erweiterung enthält: example.com und *.example.com, liegt daran, daß hier die notwendigen TXT DNS-Records kollidieren;

    um example.com zu validieren braucht es den selben DNS-Record wie die Domain selbst zu valideren, nämlich: _acme-challenge.example.com

    und diese sind aber unterschiedlich f. example.com und *.example.com ...

    irgendwie ein Design-Fehler ...

  • Hallo @mainziman/@margau,

    margau : Anmerkung zu Deiner Anleitung; der Grund wieso man bei LE kein Wildcard so bekommt, wie man bei anderen CAs, d.h. der CN=*.example.com und

    die x509v3 SAN Erweiterung enthält: example.com und *.example.com, liegt daran, daß hier die notwendigen TXT DNS-Records kollidieren;

    um example.com zu validieren braucht es den selben DNS-Record wie die Domain selbst zu valideren, nämlich: _acme-challenge.example.com

    und diese sind aber unterschiedlich f. example.com und *.example.com ...

    irgendwie ein Design-Fehler ...

    Kein Designfehler; es liegt nicht wirklich eine "Kollision" vor, da zwei TXT-Einträge mit demselben Schlüssel erlaubt sind: https://community.letsencrypt.…for-the-same-name/54528/2 (Erfolgsmeldung in separater Diskussion: https://community.letsencrypt.…rd-names-incomplete/54525)

  • m_ueberall ich lese in Deinen Links aber etwas anderes ...

    und 2 TXT Records mit dem selben Key sind EIN TXT-Record; wir reden aber von 2 TXT-Records mit unterschiedlichen Keys;

    einer f. example.com und einer f. *.example.com und das ist eben nicht erlaubt;

    dies wurde auch in der c't bei der Vorstellung von acme.sh geschrieben;

  • Hat hier jemand zufällig Erfahrungen mit mobilcom-debitel für Telekom Tarife? (mobil)


    Worauf genau zielt die Frage?

    Habe erst im Dezember den Magenta-M Tarif bei Debitel gebucht (über Check24, gab ordentlich Rabatt). Klappte alles reibungslos.

    Endlich mal ein vernünftiges Netz (nach o2 und Congstar (ohne LTE)).

  • Endlich mal ein vernünftiges Netz (nach o2 und Congstar (ohne LTE)).

    Ich habe einen Wechsel von Telefonica (AldiTalk/E-Plus) nach Vodafone hinter mir.

    Das Netz ist deutlich SCHLECHTER bei Vodafone. Der LTE Empfang ist in Gebäuden teilweise so schlecht, dass das Gerät auf 3G zurück springt. Zumindest in meiner Gegend ist also Telefonica meine primäre Empfehlung, was das Netz und Preis/Leistung angeht. Die Vorurteile des schlechten Empfangs waren vielleicht früher korrekt, aktuell kann ich das allerdings nicht bestätigen.


    Seit März haben außerdem alle Telefonica-Kunden inklusive Prepaid und Drittanbietern VoLTE und Wifi Calling bekommen, was ich auch nutze. Diese Features sind bei allen anderen Providern aktuell nur für Vertragskunden zu haben.

  • Worauf genau zielt die Frage?

    Habe erst im Dezember den Magenta-M Tarif bei Debitel gebucht (über Check24, gab ordentlich Rabatt). Klappte alles reibungslos.

    Endlich mal ein vernünftiges Netz (nach o2 und Congstar (ohne LTE)).

    Also wie zufrieden du mit dem Support und dem Ablauf der Bestellung bist.

    Hast du VoLTE oder Wifi Calling?

    Hast du deine Nummer mitgenommen? -> Wie gut hat das geklappt?

  • janxb An sich bin ich auch mit den Konditionen von 1&1 im E Netz zufrieden. 2GB, Telefon Flat, Wifi Calling usw, jedoch ist der Empfang grottig. Die 7Mbits Drossel stört mich nicht, aber immer wenn ich Netz brauche habe ich es nicht. Das einzige mal als ich die 2GB aufgebraucht habe war im Ausland dank dem EU-Roaming im fremden Netz. Hier geht teilweise nichtmal ne WhatsApp Nachricht raus, so scheisse ist der Empfang, selbst wenn mal 3G angezeigt wird. Bei der Telekom geht bei E oder gar gedrosselter Geschwindigkeit selbst der Versand von Bildern.

  • Hallo mainziman ,

    m_ueberall ich lese in Deinen Links aber etwas anderes ...

    und 2 TXT Records mit dem selben Key sind EIN TXT-Record; wir reden aber von 2 TXT-Records mit unterschiedlichen Keys;

    einer f. example.com und einer f. *.example.com und das ist eben nicht erlaubt;

    dies wurde auch in der c't bei der Vorstellung von acme.sh geschrieben;

    Damit wir nicht aneinander vorbeireden: Aus DNS-Sicht ist der Schlüsselcode von LetsEncrypt der Wert, der Schlüssel wäre hier das "_acme-challenge."-Präfix gefolgt von der Domäne, bspw. "example.com" (analog zu den Schlüsseln "_adsp._domainkey", "_dmarc").

    Ich habe das acme.sh-Projekt gerade geclont und einen Beispiellauf mit "./acme.sh --test --issue -d mydomain.de -d '*.mydomain.de' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please" gestartet, woraufhin ich aufgetragen bekam zwei TXT-Einträge unter "_acme-challenge.mydomain.de" (CCP-Spalte "Host") mit abweichenden Werten (LetsEncrypt-Schlüsseln, CCP-Spalte "Destination") anzulegen.

    Und das Eintragen funktionierte testweise mit Pseudo-Werten auch genau so im CCP (analog zu anderen Beispielen wie TLSA-/CAA-Einträgen). Durchgeführt habe ich die Registrierung nach diesem Lauf nicht (weil ich explizit keine Wildcard-Zertifikate danach widerrufen mag), aber die Erfolgsmeldungen im LetsEncrypt-Forum sind bestimmt nicht geflunkert.

  • Hallo mainziman ,

    Damit wir nicht aneinander vorbeireden: Aus DNS-Sicht ist der Schlüsselcode von LetsEncrypt der Wert, der Schlüssel wäre hier das "_acme-challenge."-Präfix gefolgt von der Domäne, bspw. "example.com" (analog zu den Schlüsseln "_adsp._domainkey", "_dmarc").

    Ich habe das acme.sh-Projekt gerade geclont und einen Beispiellauf mit "./acme.sh --test --issue -d mydomain.de -d '*.mydomain.de' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please" gestartet, woraufhin ich aufgetragen bekam zwei TXT-Einträge unter "_acme-challenge.mydomain.de" (CCP-Spalte "Host") mit abweichenden Werten (LetsEncrypt-Schlüsseln, CCP-Spalte "Destination") anzulegen.

    Und das Eintragen funktionierte testweise mit Pseudo-Werten auch genau so im CCP (analog zu anderen Beispielen wie TLSA-/CAA-Einträgen). Durchgeführt habe ich die Registrierung nach diesem Lauf nicht (weil ich explizit keine Wildcard-Zertifikate danach widerrufen mag), aber die Erfolgsmeldungen im LetsEncrypt-Forum sind bestimmt nicht geflunkert.

    Hallo,

    sehr ähnlich sah es bei mir aus: 2 unterschiedliche Records unter dem selben Schlüssel/Host,

    das sollte an sich auch Problemlos funktionieren. Probleme gibt es nur, wenn die alle von einem Protkoll (SPF ...) kommen, das das nicht mag.


    Viele Grüße

    margau

  • Hay,

    Hat hier jemand zufällig Erfahrungen mit mobilcom-debitel für Telekom Tarife? (mobil)

    Ich habe einen LTE-Datentarif ("Internet-Flat 10.000", also 10 GB, 14,99€ pro Monat) über MD im Telekom-Netz.


    Gut, ich brauche keinen Support, deswegen kann ich darüber nichts sagen. Doch Netzabdeckung ist super, ich bekomme sogar in Gebäuden 40 MBit, bei denen ich über GSM/3G nicht mal telefonieren kann - und wo quer über das Stockwerk sogar WLAN regelmäßig auf 2MBit absinkt. Die SIM-Karte im Tablet, auf Access-Node umgestellt und ich kann schneller mit dem PC im Internet surfen als über das WLAN.


    Ebenso in Gebieten, wo jeder sich über E-Netz aufregt. Vergleich mit Vodafone kann ich nicht anstellen.


    Mein Tarif ist standardmäßig VoLTE freigeschaltet, d.h. ich habe sogar mit Zoiper eine Durchwahl meiner (Netcup-) Asterisk auf dem Tablet liegen mit glasklarer Voice-Verbindung. Also WTF brauche ich eine Mobilfunknummer, um mobil erreichbar zu sein :P


    CU, Peter

  • ..., woraufhin ich aufgetragen bekam zwei TXT-Einträge unter "_acme-challenge.mydomain.de" (CCP-Spalte "Host") mit abweichenden Werten (LetsEncrypt-Schlüsseln, CCP-Spalte "Destination") anzulegen.

    genau das ist die Kollision, und somit der Designfehler ...

    bis hierher und nicht weiter ..., es funktioniert hier keine Validierung; weil diese im Round-Robin Verfahren vom DNS Client geliefert werden, es aber nicht deterministisch ist, welchen der beiden Werte Du bekommst, und somit schlägt die Validierung fehl;


    p.s. schau Dir den SPF Record der Domain vcoe.at an, dieser functioniert aus diesem selben Grund nicht;

  • p.s. schau Dir den SPF Record der Domain vcoe.at an, dieser functioniert aus diesem selben Grund nicht;

    Ich weiß natürlich nicht, ob zwei SPF-Records generell erlaubt sind (ist auch ein anderes Thema), aber ich kann ganz normal BEIDE Records abrufen. Nix mit Round-Robin: https://digwebinterface.com/?h…lver=8.8.4.4&nameservers=


    Nirgendwo steht geschrieben, dass es nur einen Record jeden Typs pro Host geben darf..

  • Hallo,

    Nirgendwo steht geschrieben, dass es nur einen Record jeden Typs pro Host geben darf..

    Ja und Nein; es kommt auf den Kontext an, wofür der DNS-Record sein soll;


    bei mehreren A bzw. AAAA Records will man z.B. eine Lastverteilung auf mehrere Hosts;

    der socket-API-Call gethostbyname liefert den "erstbesten" Eintrag, der Agent (Browser) verbindet sich damit;


    hingegen bei einer Validierung - egal ob jetzt SPF od. ACME - geht nur ein Eintrag;

    MX Toolbox, SPF-Check für Domain vcoe.at (an Hand von Fehlern läßt sich das Problem hier aufzeigen)


    beim MX-Record hat man zusätzlich noch einen Gewichtungsfaktor dabei;

    aber ein CNAME-Record ist nur einmal erlaubt;


    nur weil es im DNS möglich ist, mehrere Einträge des selben Typs vom selben Host zu definieren,

    heißt das nicht, daß es semantisch einen Sinn ergibt;


    siehe z.B. hier:

    Code
    1. host 62.218.34.10

    probiert den Aufruf mehrmals hintereinander, und ihr merkt den Unterschied, und auch die Auswirkung wenn nur der "erste" Eintrag genommen wird;

    (der rDNS-Editor im SCP läßt dies nicht zu, BIND kann damit umgehen)


    eine Kombination unterschiedlicher DNS-Typen f. den selben Host ist meist ebenfalls nicht erlaubt;

    (A und AAAA seien hier als Ausnahme erwähnt)

  • Hallo,

    Ich habe gestern mal länger danach gegoogelt: mehrere TXT-Records stellen kein Problem da (Laut Stackoverflow etc., hab leider keine RFC gefunden), es ist lediglich "zufällig", welcher zuerst ausgeliefert wird. Im Falle der challenge kann man alle auslesen (dig TXT_acme-challenge.example.com), und dann schauen, ob einer der gesuchten dabei ist.

    SPF ist Problematisch, da unklar ist welcher Record eigentlich gilt, das ist dann aber eine Ebene drüber.


    Viele Grüße

    margau


    Edit: Siehe

    https://community.letsencrypt.…or-acme-challenge/54260/2