Vimexx Facebook

Onderwerp: Heeft iemand al een auto-updater script voor TLSA die dit vernieuwd als het Let's encrypt certicaat ook vernieuwd wordt?

21-07-2019 20:43

Ik wil graag met de hosting en e-mail omgevingen voldoen aan de security suggesties van www.internet.nl. Met wat eigen zoekwerk en hulp van Vimexx is dit behoorlijk gelukt. Moeilijk punt is TLSA werkend krijgen en houden in combinatie met Let's encrypt certificaten. Een oplossing uitdenken is te complex voor mij dus wat suggesties en hulp is welkom.

Hierbij wat context en wat ik al gevonden heb. De TLSA records hebben waarde 3 0 1 wat bij gewone certificaten waarschijnlijk prima is. Bij Let's encrypt forum lees ik Please avoid “3 0 1” and “3 0 2” DANE TLSA records with LE certificates. Vraag is of deze waarden wijzigen voldoende is om het te fixen en wat de consequenties zijn.

Alternatief is kennelijk om een script automatisch te draaien. Mogelijk kan Vimexx zoiets leveren of een gebruiker met meer kennis dan ik. Vond hiervoor onderstaande input maar mijn kennis is niet voldoende om dit te vertalen naar de Vimexx situatie.

Github voorbeeld code met link naar website met toelichting

Ander Github voorbeeld met automatisch script

Hopelijk biedt dit wat input voor een oplossing.

Mvg. Peter

 

 

 

 

05-08-2019 18:32
#2148

Beste Peter,

Tegenwoordig draait er al een extra script, wanneer je gebruik maakt van Let's Encrypt voor je SSL certificaten.
Hiermee wordt voor domein.nl en www.domein.nl ook automatisch TLSA opnieuw ingesteld.
Als je voor meer subdomeinen TLSA/DANE wilt hebben, dan moet dit helaas nog wel handmatig geregeld worden.

Mochten er verdere vragen zijn, dan horen we het graag!

Met vriendelijke groet,
Arnoud Rutgers
Medewerker Klantenservice

06-11-2019 22:13
#2294

Beste Arnoud,

Is het mogelijk om naast domein.nl en www.domein.nl op poort 443, ook nog mail.domein.nl op poort 25 toe te voegen aan dat script? Dan kan de mail-check via internet.nl ook een 100% score halen...

27-05-2020 23:59
#2587

Work-around is om een CNAME-record toe te voegen:

_25._tcp.mail.example.com. IN CNAME _443._tcp.example.com.

 

- 5 van 5 sterren -