Portforwarding 80

[Patrick M. Hausen]

Und ja: Siehe https://crt.sh, es sind einfach die Zertifikate. In Deinen DNS kann keiner reinsehen, wenn Du keinen Zonentransfer erlaubst...

Top! Danke!

[JeGr]

Ach, ich hatte nur MySQL und PostreSQL gelesen...

Und ja: Siehe https://crt.sh, es sind einfach die Zertifikate. In Deinen DNS kann keiner reinsehen, wenn Du keinen Zonentransfer erlaubst...

Jein. Musste ich auch schon feststellen und konnte mit jemand sprechen, der sich da in Punkte Public DNS auch "etwas mehr" auskennt: Es gibt da durchaus inzwischen auch einen "grauen" Markt mit den Zone-Infos, die bspw. bei Public DNSen angefragt werden. Eine neue Domain, frisch registriert, nur einen sehr random Sub Domain Namen generiert und den einmal vom Rechner aus auf nem Public DNS angefragt -> 3 Tage später die erste Zugriffe aus Ost und Fernost. Die Subdomain war nirgendwo bekannt oder eingerichtet. Nur bei DNS queries. Das ist also durchaus wohl inzwischen ein Ding, dass auch neue Domains via DNS abgegrast oder verschachert werden. Und da war die Domain noch nichtmal irgendwo im TLS Transparency Log weil noch kein TLS ausgestellt wurde. Ab dann ist es eigentlich öffentlich, egal was du machst, weil sich genug einfach den "tail" vom SSL/TLS transparency log abgreifen um Domains zu fischen.

Wie ich neulich feststellen musste, ist eine meiner Domains inzwischen komplett verbrannt, weil ich früher einmal mit HTTP-01 Multi-Domain-Zertifikate eingerichtet hatte. Unter https://crt.sh sind die "immer noch" verfügbar.

Was meinst du mit "immer noch verfügbar"? Sind die Infos nicht aus dem transparency log? Das löscht sich ja nicht einfach, sondern protokolliert einfach nur, wann welche Domain wie mit Zertifikat ausstaffiert worden ist. Und da sind DNS Varianten auch mit drin. Nicht nur HTTP. Verstehe nicht ganz, was es bringen soll auf HTTP01 zu verzichten an der Stelle? Freu mich aber über Erklärung :)

Cheers :)

[Patrick M. Hausen]

@JeGr nur mit DNS-01 bekommt man Wildcard-Zertifikate und hält seine konkreten FQDN aus dem transparency log raus.

[JeGr]

@JeGr nur mit DNS-01 bekommt man Wildcard-Zertifikate und hält seine konkreten FQDN aus dem transparency log raus.

Ach das ist gemeint *kopfklatsch*
OK da stand ich grad auf der Leitung ;)

Wobei das auch nur "begrenzt" funktioniert, wenn du alles auf der Subdomain Ebene abwickelst. Sobald du auf 3rd Level kommst (x.y.abc.de) ist zumindest mit der 2nd Level Domain die Katze aus dem Sack (y.abc.de ist dann bekannt). Aber klar, für die meisten privaten Sachen bekommt man das sicher so hin. Es wird nur unschön, wenn an zu vielen Stellen dann das Zert gebraucht wird, da Multi-Ausstellung bei Wildcards meine ich ab irgendeiner Zahl zu Problemen führte? Mehr als 5x? das gleiche Zert war dann - nicht so gut.

[Patrick M. Hausen]

Was heißt denn Multi-Ausstellung? Es wird ein Wildcard-Zertifikat ausgestellt und hundert mal deployed.

[JeGr]

Aber nur wenn du es deployen kannst, Patrick :)
Geh doch nicht immer von den schönsten einfachsten Hardware Boxen aus ;) Das würde ich ja gern, aber den Luxus hat man leider nicht immer. Und wenn du in Geräte extern keine Zertifikate reinprügeln kannst/darfst, sondern die das selbst ausstellen müssen, kann(!) es eng werden - muss nicht. Ich wollte es nur mal in den Raum geworfen haben, dass es kein Panacea ist weil es Beschränkungen gibt: https://letsencrypt.org/docs/rate-limits/#new-certificates-per-exact-set-of-hostnames

Wissen nicht alle - darum der Hinweis. Gerade wenn du irgendwelche verkorkten Kisten hast die darauf bestehen, selbst Zertifikate auszustellen.

BTW: Wenn wir bei Beschränkungen sind: Der acme-dns Service hat auch eine, er kann nicht mehr als 2 SAN Einträge setzen. Also genau "domain.tld" und "www.domain.tld" oder "*.domain.tld" je nachdem was man macht. Wer damit aber bspw. ein Multi-SAN-Zert für nen Proxy o.ä. machen will, in welchem vllt. mehrere Domains drin sind (weil domain2.tld auch noch gebraucht wird) - hat da Probleme. Das ist in irgendeinem Support Ticket zu acme-dns verschüttet mal diskutiert worden, weil das hardcoded Werte sind. Klar, macht man halt die Domains einzeln, aber auch hier: weiß man vllt. nicht - sucht man stundenlang nach Nichts :)

Cheers :)

[meyergru]

Jens, Du hast vollkommen recht. Mit den kommenden Verkürzungen müssten diese Beschränkungen aber heftig angepasst werden, zudem dann tatsächlich Verlängerungen ggf. sogar jeden Tag passieren müssten (mal ganz abgesehen von der höheren Last bei den ACME-CAs).

Ich habe da mal angefragt: https://community.letsencrypt.org/t/how-will-lets-encrypt-deal-with-the-effects-of-shorter-certificate-lifetimes/237293, bin gespannt...

[meyergru]

Aha. Die 10 Tage waren eine Ente, die ich mal - vor der Korrektur auf 47 Tage - in diesem Heise-Artikel gelesen hatte. Die Verkürzung geht in Stufen nur auf 47 Tage, was immer noch genug Zeit bei Problemen in der Automation gibt und auch die Limits nicht unrealistisch niedrig erscheinen lässt...