TLSA: DNS ttl und revoced certs

Patrick Ben Koetter p at sys4.de
Sa Jan 31 13:03:00 CET 2015


* django at nausch.org <django at nausch.org>:
> Zwei kurze Fragen:
> 
> Welche Erfahrungswerte könnt Ihr mir denn TTL von TLSA-Records nennen?

Es ergibt Sinn, eine vergleichsweise kurze TTL zu verwenden, falls man eben
mal gezwungen wäre ein Cert zu widerrufen.

> Was macht man bei einem zurückgerufenen Zertifikat? Reicht es den
> TLSA-Record zu klöschen, oder gibt es da ähnlich wie bei DKIM 'nen
> besonderen Eintrag zum Kennzeichnen, das das Zertifikat/Schlüssel
> revoced wurde?

Um ein Zertifikat als gültiges DANE-Cert zu widerrufen, musst Du den
betreffenden TLSA-Eintrag entfernen.

Wenn Du von einem auf ein anderes Cert wechselst, dann kannst Du die TLSA RRs
beider Certs zur selben Zeit (!) veröffentlichen. Die Specs für DANE besagen,
es dürfen zeitgleich mehrere TLSA RRs veröffentlicht sein und es genügt wenn
mindestens einer passt.

Das ist auch praktisch, wenn man z.B. ein Cluster aus mehreren Hosts hat, die
unterschiedliche Certs verwenden. (Eher ein Sonderfall, weil man meist
dasselbe Cert auf allen Hosts im Cluster verwendet)

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users