DANE/TSLA für Webserver (OVH)

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Registriere dich um viele Vorteile zu genießen! Weniger Werbung, bessere Kommunikation und vieles mehr!

  • Hier erfährst du wie du DANE für deinen Webserver verwendest.
    Benötigt wird:
    SSL-Zertifikat(Kann auch selbst ausgestellt sein, ich zeige es an einen LetsEntcrypt Zertifikat)
    DNS-Server(Der DNSSEC + TLSA unterstützt, ich zeige es an einem OVH DNS Server)
    Einen Webserver(Egal welcher :) )

    Nicht alle Registrare unterstützen Momentan DNSSEC und somit TLSA/DANE

    Fangen wir mal an:

    Als erstes erstellen wir einen TLSA Rekord,

    dass machen wir über eine Webseite die uns diesen Rekord aus unserem Zertifikat erzeugen kann

    Bei Usage wähle wir Domain Issued Certificate(Steht für dafür das nur das angegebene Zertifikat mit der Domain verwendet werden darf)

    Beim Selector wählen wir Use subject public key das heißt wir müssen den Eintrag nicht unbedingt erneuern wenn wir ein neues Zertifikat uns ausstellen lassen außer wir benutzen einen neunen Request Datei.

    Dann könnten wir genau so gut Use full certificate auswählen da wir den Eintrag dann eh nach bzw vor Ablauf erneuern müssen. Ist also euch überlassen was für euch besser ist.
    Und bei Matching Type
    wählen wir SHA-256 Hash.

    Hier noch mal alles genauer erklärt.


    Sieht dann ungefähr so aus:



    So weit so gut auf der rechten Seite verlangt er noch ein Zertifikat Port Protokoll und eine Domain
    Beim Zertifikat gibt man einfach den Inhalt der fullchain.pem Datei an die man von Letsencrypt bekommen hat.(Wenn man die nicht hat einfach cert.cer und privkey.key einfügen)
    Also die Datei öffne den Inhalt kopieren und dann einfügen dürfte jeder hinbekommen.
    Beim Port geben wir 443 an das ist der HTTPS Port (Normalerweise).
    Bei Domain natürlich eure Domain

    Sieht dann ungefähr so aus:




    Nach dem alles eingegeben ist drücken wir auf Generieren




    Nun haben wir unseren TLSA Rekord den wir nun bei unserem DNS Anbieter in den DNS Einstellungen hinzufügen müssen.
    Als DNS Anbieter benutze ich in meinem Fall OVH dürfte aber mit jedem Anbieter funktionieren der DNSSEC + DANE/TLSA Rekords unterstützt.

    Bei OVH sieht es so aus:







    Bei Subdoamin geben wir _443._tcp.T0biii.de ein(Bei euch ja nicht T0biii.de sonder eure Domain), _443._tcp.T0biii.de wurde uns auch oben schon generiert.

    TTL lasse ich auf Standard.(Aber wird empfohlen einen kleineren Wert zu wählen erleichtert Austausch des Zertifikates)


    Unter Nutzung geben wir die '3' an bei Selektor '1' und 'Art der Entsprechung' auch 1 wie es oben auch steht 3 1 1 genau in der Reihenfolge.

    Bei 'Daten des Zertifikates
    ' Geben wir den Hashwert der nach den 3 1 1 steht an.

    Sieht dann so aus:





    Nun nur noch auf weiter und dann auf Bestätigen.

    Nun können wir noch überprüfen ob der Eintrag auch richtig erkannt wird.
    Dafür gehen wir auf diese Seite.

    Geben unsere Domain an und drücken dann auf Testen.

    Im besten Fall sieht es dann so aus:


    Wenn alles Grün leuchtet(wenn nicht könnte es bisschen dauern bis die DNS Einträge übernommen worden sind)

    Fast ganz unten sehen wir unseren DANE(TLSA) Eintrag.



    Somit haben wir DANE erfolgreich für unseren Webserver eingerichtet!

    Was des jetzt genau bringt?

    Eigenlicht nicht viel da fast kein Browser DANE verwendet(unterstützt) man kann nur mit einem zusätzlichen Add-on überprüfen ob die Webseite DNSSEC Geschützt ist und ob das Zertifikat mit dem aus dem DNS übereinstimmt.
    Wo es mehr Sinn macht DANE zu verwenden ist bei einem Mail-Server!


    P.S. ich hoffe ich konnte euch damit helfen. Und ich hoffe, dass die Texte sind alle gleichgroß hatte bisschen Schwierigkeiten beim Fett machen und beim Größe ändern.
    P.S.S Schreibt doch mal eure Testergebnisse hier drunter würde mich interessieren.

    389 mal gelesen

Kommentare 2

  • LucaDev -

    Leider wird DNSSEC nicht von allen TLDs unterstützt, so untersützt z.B der Registrar von .me Domains zum Beispiel keine

    • T0biii -

      Ja, des ist eigentlich traurig das so wenige Registrare DNSSEC nicht unterstützen da dieses Protokoll jez doch schon länger gibt. Bin extra dafür mit allein Domains zu OVH gewechselt.