Re: Eigene Zertifikate veröffentlichen
> Sven Hartge <sven@svenhartge.de> hat am 23. April 2020 um 17:37 geschrieben:
>
>
> lists-mm@netcologne.de wrote:
> > Sven Hartge <sven@svenhartge.de> hat am 21. April 2020 um 09:19 geschrieben:
> >> Dirk Paul Finkeldey <dirk.finkeldey@ewetel.net> wrote:
>
> >>> Wie kann ich das eigene caccert als Zertifizierungsstelle so
> >>> veröffentlichen das es Webbrowsern und e-Mail Clients in die Liste
> >>> aufgenommen wird ?
> >>
> >> Automatisch? Gar nicht. Das würde die Idee von vertrauenswürdigen CAs
> >> ja grundsätzlich unterlaufen.
> >>
> >> Manuell? Leg das Zertifikat auf eine Webseite, damit es jeder
> >> herunterladen und selbst einbinden kann.
>
> > Zusätzlich evtl. auch CAA-Einträge im DNS vornehmen.
>
> Mit welcher Intention?
Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) gültige Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Mit einem CAA-Record können MITM-Attacken zumindest deutlich erschwert werden. Bei Problemen mit der Zertifikatserstellung wird die fremde Zertifizierungsstelle, sofern unterstützt, eine E-Mail verschicken (iodef “mailto:deine@mail.adresse”;).
Ob der TA das nützlich findet, bleibt ihm überlassen. Daher hab ich explizit _evtl._ geschrieben. Schaden kann ein derartiger Eintrag jedenfalls nicht.
Ciao Marco!
Reply to: