Inhaltsverzeichnis
Let's Encrypt - TLSA-Record - DANE
Let's Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle (CA), welche offiziell dem Nutzen der Öffentlichkeit dienen soll. Let's Encrypt ist ein Service der von der Internet Security Research Group (ISRG) zur Verfügung gestellt wird.
Let's Encrypt bietet öffentlich, jedermann digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird kostenlos und in einer möglichst benutzerfreundlichen Art und Weise angeboten. Let's Encrypt tut dies, weil Let's Encrypt offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte.
Weitere Informationen zum Einsatz von TLSA in Verwendung mit Let's Encrypt-Zertifikaten sind unter nachfolgendem externen Link verfügbar:
Grundlagen TLSA-Record
Der TLSA-Record ist wie folgt aufgebaut:
_[Port]._[Protokoll].[SUBDOMAIN].[DOMAIN].[TLD] [TTL] IN TLSA (DATEN = [Zahl] [Zahl] [Zahl] [HASH])
Für einen Standard SMTP Server wäre das z.B. das der Port 25 und das TCP Protokoll. Im Feld Record wird daher folgendes eingegeben: _25._tcp
Wenn das Zertifikat für einen Host einer Subdomain gültig ist muss der Record z.B. für die bekannte mx
Subdomain wie folgt aussehen: _25._tcp.mx
Das Daten Feld enthält 4 Informationen getrennt von Leerzeichen und optional von einer Klammer umschlossen:
([Zahl] [Zahl] [Zahl] [HASH])
Die erste Zahl ist ein Wert von 0 bis 3:
- 0: Der Hash gehört der Zertifizierungsstelle die Zertifikate für diesen Host ausstellen darf. Der Client muss die Zertifizierungsstelle kennen oder diese muss von einer vertrauten Zertifizierungsstelle unterschrieben sein.
- 1: Der Hash gehört dem Serverzertifikat. Es muss von einer Zertifizierungsstelle unterschrieben sein der vom Client vertraut wird.
- 2: Der Hash gehört einer Zertifizierungsstelle die Zertifikate für diesen Host ausstellen darf. Der Client soll Ihr Vertrauen auch wenn sie ihm Unbekannt und von keiner bekannten Zertifizierungsstelle unterschrieben ist.
- 3: Der Hash gehört dem Serverzertifikat und der Client soll diesem ohne weitere Prüfung der Vertrauenskette trauen.
Die Zweite Zahl kann 0 oder 1 sein und gibt an wie der Hash überprüft wird:
- 0: Es wird ein Hash vom kompletten Zertifikat erstellt.
- 1: Es wird nur ein Hash vom Public Key und des Algorithmus erstellt.
Die Dritte Zahl enthält einen wert von 0 bis 2:
- 0: Der Hash enthält das komplette Zertifikat (nicht empfohlen).
- 1: Der Hash enthält einen SHA-256 Hash.
- 2: Der Hash enthält einen SHA-512 Hash.
Vorbereitung
Nachfolgende Anleitung aus dem internen Link, zeigt wie Zertifikate generell durch die Verwendung von Let's Encrypt erstellt werden und muss zwingend bereits erfolgreich durchgeführt worden sein !!!
HINWEIS - Ein aktuell generiertes Zertifikat muss bereits vorhanden sein !!!
Nachfolgend wird in dieser Anleitung davon ausgegangen, dass ein
- Let's Encrypt-Zertifikat
in nachfolgendem Verzeichnis liegt:
/opt/dehydrated-master/certs/[DOMAIN]
bzw. eigene Let's Encrypt-Zertifikats-Generierung für den MTA-Postfix unter:
/opt/dehydrated-master-postfix/certs/[DOMAIN]
* [DOMAIN] steht hier für den Verzeichnisnamen z.B. mx1.tachtler.net
Generierung TLSA-Records (SMTP)
Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies würde es erforderlich machen, auch den TLSA-Record alle 90 Tage zu erneuern.
HINWEIS - Eine Erneuerung alle 90 Tage ist bei entsprechender Gestaltung des TLSA-Records NICHT erforderlich!
Siehe auch den externen Link: https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022
Bei der Verwendung von Let's Encrypt-Zertifikaten mit 90-tägigem Ablaufdatum ist darauf zu achten, dass
- keine „3 0 1“ und keine „3 0 2“ DANE TLSA-Datensätze veröffentlicht werden.
Die Erneuerung von Let's Encrypt-Zertifikaten führt zu einem neuen Zertifikats-Digest (Fingerprint) und macht die TLSA-Datensätze ungültig.
Stattdessen sollten
- „3 1 1“- oder „2 1 1“-Datensätze
wie im folgenden Abschnitt erläutert veröffentlicht werden.
Bei „3 1 1“-Datensätzen müssen Sie sicherstellen, dass die Erneuerung von Let's Encrypt-Zertifikaten kein neues Paar aus privatem und öffentlichem Schlüssel erzeugt, sondern dass bei künftigen Aktualisierungen des Zertifikats dasselbe Paar aus öffentlichem Schlüssel verwendet wird.
Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.
Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.
WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!
TLSA-Record - Let's Encrypt Zertifikat (SMTP)
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.
Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis
/opt/dehydrated-master-postfix/certs/mx1.tachtler.net/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_25._tcp.%s. IN TLSA 3 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /opt/dehydrated-master-postfix/certs/mx1.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _25._tcp.mx1.tachtler.net. IN TLSA 3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88
Parameter für den Aufruf:
- Die DANE-EE(3) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
3 1 1
- Die Domäne muss entsprechend angepasst werden, hier verwendet:
mx1.tachtler.net
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
/opt/dehydrated-master-postfix/certs/mx1.tachtler.net/cert.pem
Das Ergebnis ist der fertige TLSA-Record:
_25._tcp.mx1.tachtler.net. IN TLSA 3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88
TLSA-Record - Let's Encrypt Root CA Zertifikat (SMTP)
Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:
HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
bis 06.10.2021
ab 30.09.2020
* Danke für den Hinweis an Björn Jacke
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt --2020-10-03 16:31:13-- https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ lets-encrypt-r3-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt --2020-10-03 17:20:14-- https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ... Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ lets-encrypt-r4-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem --2020-10-03 17:20:39-- https://letsencrypt.org/certs/lets-encrypt-e1.pem Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ... Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e1.pem’ lets-encrypt-e1.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem --2020-10-03 17:20:56-- https://letsencrypt.org/certs/lets-encrypt-e2.pem Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e2.pem’ lets-encrypt-e2.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
ls -la /tmp/lets-encrypt* -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e1.pem -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e2.pem -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.
Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis
/tmp/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Parameter für den Aufruf:
- Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
2 1 1
- Die Domäne muss entsprechend angepasst werden, hier verwendet:
mx1.tachtler.net
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
/tmp/lets-encrypt-r3-cross-signed.pem.txt
/tmp/lets-encrypt-r4-cross-signed.pem.txt
Das Ergebnis ist der fertige TLSA-Record:
_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Enrichtung DNS (SMTP)
Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:
_25._tcp.mx1.tachtler.net. 600 IN TLSA 3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88 _25._tcp.mx1.tachtler.net. 600 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _25._tcp.mx1.tachtler.net. 600 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Ein Abfrage, mittels des Befehls dig
, sollte dann wie nachfolgend dargestellt aussehen:
# dig _25._tcp.mx1.tachtler.net IN TLSA ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _25._tcp.mx1.tachtler.net IN TLSA ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_25._tcp.mx1.tachtler.net. IN TLSA ;; ANSWER SECTION: _25._tcp.mx1.tachtler.net. 600 IN TLSA 3 1 1 E9BC354EAFFCF2751F847A22FD6D021CB94A9A015E1D64F76673E41F 9F0B8F88 _25._tcp.mx1.tachtler.net. 600 IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D _25._tcp.mx1.tachtler.net. 600 IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03 ;; AUTHORITY SECTION: tachtler.net. 10800 IN NS ns1.tachtler.net. ;; ADDITIONAL SECTION: ns1.tachtler.net. 10800 IN A 192.168.0.20 ;; Query time: 0 msec ;; SERVER: 192.168.0.20#53(192.168.0.20) ;; WHEN: Sat Oct 03 16:31:19 CEST 2020 ;; MSG SIZE rcvd: 187
Überprüfung (SMTP)
Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier MTA passen, kann nachfolgender externer Link der [*] sys4 AG verwendet werden:
oder
oder
* Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt
Zertifikats
Generierung TLSA-Records (IMAP)
Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.
Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.
Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.
WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!
TLSA-Record - Let's Encrypt Zertifikat (IMAP)
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.
Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis
/opt/dehydrated-master-dovecot/certs/imap.tachtler.net/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_993._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
und
# printf '_143._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
Parameter für den Aufruf:
- Die DANE-EE(3) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
3 1 1
- Die Domäne muss entsprechend angepasst werden, hier verwendet:
imap.tachtler.net
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
/opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem
Das Ergebnis sind die fertigen TLSA-Records:
_143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f _993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
TLSA-Record - Let's Encrypt Root CA Zertifikat (IMAP)
Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:
HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
bis 06.10.2021
ab 30.09.2020
* Danke für den Hinweis an Björn Jacke
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt --2020-10-03 16:31:13-- https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ lets-encrypt-r3-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt --2020-10-03 17:20:14-- https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ... Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ lets-encrypt-r4-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem --2020-10-03 17:20:39-- https://letsencrypt.org/certs/lets-encrypt-e1.pem Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ... Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e1.pem’ lets-encrypt-e1.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem --2020-10-03 17:20:56-- https://letsencrypt.org/certs/lets-encrypt-e2.pem Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e2.pem’ lets-encrypt-e2.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
ls -la /tmp/lets-encrypt* -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e1.pem -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e2.pem -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.
Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis
/tmp/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
und
# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Parameter für den Aufruf:
- Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
2 1 1
- Die Domäne muss entsprechend angepasst werden, hier verwendet:
imap.tachtler.net
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
/tmp/lets-encrypt-r3-cross-signed.pem.txt
/tmp/lets-encrypt-r4-cross-signed.pem.txt
Das Ergebnis ist der fertige TLSA-Record:
_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 _143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Enrichtung DNS (IMAP)
Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:
_993._tcp.imap.tachtler.net. 600 IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f _993._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _993._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
und
_143._tcp.imap.tachtler.net. 600 IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f _143._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _143._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Ein Abfrage, mittels des Befehls dig
, sollte dann wie nachfolgend dargestellt aussehen:
# dig _993._tcp.imap.tachtler.net IN TLSA ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _993._tcp.mx1.tachtler.net IN TLSA ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_25._tcp.mx1.tachtler.net. IN TLSA ;; ANSWER SECTION: _993._tcp.imap.tachtler.net. 600 IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F _993._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D _993._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03 ;; AUTHORITY SECTION: tachtler.net. 10800 IN NS ns1.tachtler.net. ;; ADDITIONAL SECTION: ns1.tachtler.net. 10800 IN A 192.168.0.20 ;; Query time: 0 msec ;; SERVER: 192.168.0.20#53(192.168.0.20) ;; WHEN: Sat Oct 03 16:33:24 CEST 2020 ;; MSG SIZE rcvd: 142
und
Ein Abfrage, mittels des Befehls dig
, sollte dann wie nachfolgend dargestellt aussehen:
# dig _143._tcp.imap.tachtler.net IN TLSA ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _143._tcp.mx1.tachtler.net IN TLSA ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_25._tcp.mx1.tachtler.net. IN TLSA ;; ANSWER SECTION: _143._tcp.imap.tachtler.net. 600 IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F _143._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D _146._tcp.imap.tachtler.net. 600 IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03 ;; AUTHORITY SECTION: tachtler.net. 10800 IN NS ns1.tachtler.net. ;; ADDITIONAL SECTION: ns1.tachtler.net. 10800 IN A 192.168.0.20 ;; Query time: 0 msec ;; SERVER: 192.168.0.20#53(192.168.0.20) ;; WHEN: Sat Oct 03 16:33:29 CEST 2020 ;; MSG SIZE rcvd: 142
Überprüfung (IMAP)
Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier MDA passen, kann nachfolgender externer Link verwendet werden:
* Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt
Zertifikats
und
* Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt
Zertifikats
Generierung TLSA-Records (HTTPS)
Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.
Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.
Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.
WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!
TLSA-Record - Let's Encrypt Zertifikat (HTTPS)
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.
Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis
/opt/dehydrated-master/certs/tachtler.net/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_443._tcp.%s. IN TLSA 1 1 1 %s\n' tachtler.net $(openssl x509 -in /opt/dehydrated-master/certs/tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _443._tcp.tachtler.net. IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
Parameter für den Aufruf:
- Die PKIX-EE: Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
1 1 1
- Die Domäne muss entsprechend angepasst werden, hier verwendet:
tachtler.net
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
/opt/dehydrated-master/certs/tachtler.net/cert.pem
Das Ergebnis ist der fertige TLSA-Record:
_443._tcp.tachtler.net. IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
TLSA-Record - Let's Encrypt Root CA Zertifikat (HTTPS)
Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:
HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
bis 06.10.2021
ab 30.09.2020
* Danke für den Hinweis an Björn Jacke
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt --2020-10-03 16:31:13-- https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ lets-encrypt-r3-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt --2020-10-03 17:20:14-- https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ... Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1541 (1,5K) [text/plain] Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ lets-encrypt-r4-cro 100%[===================>] 1,50K --.-KB/s in 0s 2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem --2020-10-03 17:20:39-- https://letsencrypt.org/certs/lets-encrypt-e1.pem Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ... Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e1.pem’ lets-encrypt-e1.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem --2020-10-03 17:20:56-- https://letsencrypt.org/certs/lets-encrypt-e2.pem Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ... Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1021 [application/x-pem-file] Saving to: ‘/tmp/lets-encrypt-e2.pem’ lets-encrypt-e2.pem 100%[===================>] 1021 --.-KB/s in 0s 2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
ls -la /tmp/lets-encrypt* -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e1.pem -rw-rw-r--. 1 klaus klaus 1021 3. Okt 17:20 /tmp/lets-encrypt-e2.pem -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt -rw-rw-r--. 1 klaus klaus 1541 3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.
Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis
/tmp/
liegt, verwendet werden.
Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:
# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
und
# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"') _443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Parameter für den Aufruf:
- Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
2 1 1
- Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
/tmp/lets-encrypt-r3-cross-signed.pem.txt
/tmp/lets-encrypt-r4-cross-signed.pem.txt
Das Ergebnis ist der fertige TLSA-Record:
_443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 _443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Enrichtung DNS (HTTPS)
Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:
_443._tcp.tachtler.net. 600 IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f _443._tcp.tachtler.net. 600 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _443._tcp.tachtler.net. 600 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 _443._tcp.www.tachtler.net. 600 IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f _443._tcp.www.tachtler.net. 600 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d _443._tcp.www.tachtler.net. 600 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
Ein Abfrage, mittels des Befehls dig
, sollte dann wie nachfolgend dargestellt aussehen:
# dig _443._tcp.tachtler.net IN TLSA ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> _443._tcp.tachtler.net IN TLSA ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30095 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_443._tcp.tachtler.net. IN TLSA ;; ANSWER SECTION: _443._tcp.tachtler.net. 600 IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D _443._tcp.tachtler.net. 600 IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03 _443._tcp.tachtler.net. 600 IN TLSA 1 1 1 ADEA18BBACB8A8F1370659BD3CC0A3A209BC27BFEF82942C3ADE7586 22CA0A5F ;; AUTHORITY SECTION: tachtler.net. 10800 IN NS ns1.tachtler.net. ;; ADDITIONAL SECTION: ns1.tachtler.net. 10800 IN A 192.168.0.20 ;; Query time: 0 msec ;; SERVER: 192.168.0.20#53(192.168.0.20) ;; WHEN: Sat Oct 03 16:34:01 CEST 2020 ;; MSG SIZE rcvd: 184
Überprüfung (HTTPS)
Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier Webserver passen, kann nachfolgender externer Link verwendet werden:
oder