Discussion:
Server SSL Zertifikat in Kombination mit DynDNS
Markus Weyland
2015-11-23 14:26:00 UTC
Permalink
Hallo,

ich habe folgendes Problem.

Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine
Domains (mweyland.de und weitere) hinterlegt.

Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.

Gibt es dafÌr eine Lösung?

Vielen Dank fÃŒr Eure Hilfe.

Mit freundlichen GrÌßen
Markus Weyland

P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne
Erfolg.

<https://lists.cacert.org/wws/info/cacert-de>
Rüdiger Schultz
2015-11-23 14:40:35 UTC
Permalink
Hallo,

verstehe ich das richtig, dass Du mit einem Zertifikat bestÀtigen willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die Domain „dynvpn.de“ NICHT Dir gehört?

Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) Ìberhaupt zulÀssig ist.



Oder hab ich was falsch verstanden?

Liebe GrÃŒsse

RÃŒdiger Schultz



Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Markus Weyland
Gesendet: Montag, 23. November 2015 15:26
An: cacert-***@lists.cacert.org
Betreff: Server SSL Zertifikat in Kombination mit DynDNS



Hallo,

ich habe folgendes Problem.

Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÌr meine Domains (mweyland.de und weitere) hinterlegt.

Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.

Gibt es dafÌr eine Lösung?

Vielen Dank fÃŒr Eure Hilfe.

Mit freundlichen GrÌßen
Markus Weyland

P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
Andreas Krueger
2015-11-23 14:42:47 UTC
Permalink
Doch, dass muss gehen.
Ich kann auch fÃŒr "remote.dyndns.org" Zertifikate erstellen, auch wenn ich die nicht mehr nutze ...

Gruss,

Andreas KrÃŒger
Post by Markus Weyland
Hallo,
verstehe ich das richtig, dass Du mit einem Zertifikat bestÀtigen willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) Ìberhaupt zulÀssig ist.
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
Gesendet: Montag, 23. November 2015 15:26
Betreff: Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÌr meine Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.
Gibt es dafÌr eine Lösung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÌßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
Bernhard Fröhlich
2015-11-23 15:07:20 UTC
Permalink
Post by Markus Weyland
Hallo,
verstehe ich das richtig, dass Du mit einem Zertifikat bestÀtigen
willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die
Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) Ìberhaupt zulÀssig ist.
Das mÃŒsste momentan technisch dann funktionieren, wenn man den MX der
DomÀne auf einen Mailserver setzen kann der Mails z.B. an
"***@mwemail.dynvpn.de" mindestens temporÀr an einen weiterleitet.
Dann kann man auf die Mailprobe zugreifen und die Domain bestÀtigen.

Es besteht mindestens mal das Problem dass der EigentÃŒmer der
Ìbergeordneten Domain (in dem Fall dynvpn.de) sich diese DomÀne
registrieren, und dann Zertifikate explizit fÃŒr dein NAS, oder auch
Wildcard-Zertifikate ausstellen könnte. Ob hier beim Registrieren einer
(Sub-)Domain bei CAcert entsprechende Checks ÃŒber die Datenbank laufen
weiß ich nicht.

Demnach gehst mindestens mal Du das zusÀtzliche Risiko ein dass der
DynDNS-Provider auch Zertifikate fÌr dein NAS ausstellen könnte. FÌr ein
NAS in einem gesicherten privaten Netzwerk kann das akzeptabel sein, fÃŒr
ein öffentlich zugÀngliches System wÌrde ich definitiv davon abraten
sobald es auf dem Server was zu holen gibt.

Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF
sagen, vermutlich kann man das erst sagen wenn man da mal eine
Arbitration anstößt. Du hast zwar die Kontrolle ÃŒber die DomÀne, aber
nicht die ausschließliche Kontrolle.
Andererseits gilt das, etwas abgeschwÀcht, fÌr praktisch jede DomÀne.
Das DE-NIC könnte natÌrlich auch die .de DomÀne bei CAcert registrieren
und damit Unfug treiben...

Ich hoffe, das hilft weiter,
mfG
Ted
;)
Post by Markus Weyland
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
Weyland
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafÌr eine Lösung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÌßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
Andreas Galatis
2015-11-23 15:51:24 UTC
Permalink
Hallo,



es entspricht zwar nicht den Empfehlungen, aber Du könntest einen Cname name fÌr einen Host auf die dynamische Adresse angeben, der dann auf den dynamischen Host verweist.

Damit hast Du die Kontrolle Ìber den Host, den dazugehörigen Eintrag.

Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.

Zumindest wÃŒrde es funktionieren



Mfg

Iodok



Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Bernhard Fröhlich
Gesendet: Montag, 23. November 2015 16:07
An: cacert-***@lists.cacert.org
Betreff: Re: Server SSL Zertifikat in Kombination mit DynDNS



Am 23.11.2015 um 15:40 schrieb RÃŒdiger Schultz:

Hallo,

verstehe ich das richtig, dass Du mit einem Zertifikat bestÀtigen willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die Domain „dynvpn.de“ NICHT Dir gehört?

Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) Ìberhaupt zulÀssig ist.


Das mÌsste momentan technisch dann funktionieren, wenn man den MX der DomÀne auf einen Mailserver setzen kann der Mails z.B. an <mailto:***@mwemail.dynvpn.de> "***@mwemail.dynvpn.de" mindestens temporÀr an einen weiterleitet. Dann kann man auf die Mailprobe zugreifen und die Domain bestÀtigen.

Es besteht mindestens mal das Problem dass der EigentÃŒmer der ÃŒbergeordneten Domain (in dem Fall dynvpn.de) sich diese DomÀne registrieren, und dann Zertifikate explizit fÃŒr dein NAS, oder auch Wildcard-Zertifikate ausstellen könnte. Ob hier beim Registrieren einer (Sub-)Domain bei CAcert entsprechende Checks ÃŒber die Datenbank laufen weiß ich nicht.

Demnach gehst mindestens mal Du das zusÀtzliche Risiko ein dass der DynDNS-Provider auch Zertifikate fÌr dein NAS ausstellen könnte. FÌr ein NAS in einem gesicherten privaten Netzwerk kann das akzeptabel sein, fÌr ein öffentlich zugÀngliches System wÌrde ich definitiv davon abraten sobald es auf dem Server was zu holen gibt.

Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF sagen, vermutlich kann man das erst sagen wenn man da mal eine Arbitration anstößt. Du hast zwar die Kontrolle ÃŒber die DomÀne, aber nicht die ausschließliche Kontrolle.
Andererseits gilt das, etwas abgeschwÀcht, fÌr praktisch jede DomÀne. Das DE-NIC könnte natÌrlich auch die .de DomÀne bei CAcert registrieren und damit Unfug treiben...

Ich hoffe, das hilft weiter,
mfG
Ted
;)






Oder hab ich was falsch verstanden?

Liebe GrÃŒsse

RÃŒdiger Schultz



Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Markus Weyland
Gesendet: Montag, 23. November 2015 15:26
An: cacert-***@lists.cacert.org
Betreff: Server SSL Zertifikat in Kombination mit DynDNS



Hallo,

ich habe folgendes Problem.

Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÌr meine Domains (mweyland.de und weitere) hinterlegt.

Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.

Gibt es dafÌr eine Lösung?

Vielen Dank fÃŒr Eure Hilfe.

Mit freundlichen GrÌßen
Markus Weyland

P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
Magnus Wagner
2015-11-23 16:00:13 UTC
Permalink
Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.
Zumindest würde es funktionieren
RFC2181
10.3. MX and NS records
The domain name used as the value of a NS resource record, or part of
the value of a MX resource record must not be an alias.

RFC1912
[RFC 1034] in section 3.6.2 says this should not be done, and [RFC
974] explicitly states that MX records shall not point to an alias
defined by a CNAME.

Grüße aus Berlin,
Ma
S. H.
2015-11-23 16:28:30 UTC
Permalink
Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.
Zumindest wÃŒrde es funktionieren
Darauf wÌrde ich nicht wetten, dass das immer funktioniert. Allerdings verstehe ich nicht, was das Ìberhaupt mit dem Thema zu tun hat. Wohin der MX zeigt ist fÌr Domain-PrÌfung doch völlig egal.
Andreas Galatis
2015-11-23 16:42:43 UTC
Permalink
Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?



Mg

Iodok



Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Sven Kolja Heinemann
Gesendet: Montag, 23. November 2015 17:29
An: cacert-***@lists.cacert.org
Betreff: Re: AW: Server SSL Zertifikat in Kombination mit DynDNS





Am 23.11.2015 um 16:51 schrieb Andreas Galatis <***@galatis.de>:

Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.

Zumindest wÃŒrde es funktionieren



Darauf wÌrde ich nicht wetten, dass das immer funktioniert. Allerdings verstehe ich nicht, was das Ìberhaupt mit dem Thema zu tun hat. Wohin der MX zeigt ist fÌr Domain-PrÌfung doch völlig egal.
S. H.
2015-11-23 17:01:03 UTC
Permalink
Post by Andreas Galatis
Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?
In dem Fall nicht zwingend. Der MX mÌsste hier auf sich selbst zeigen. Allerdings sieht der RFC dann vor, dass dieser weg gelassen werden kann. Was mir da aber nicht klar ist, wozu man hier CNAME brÀuchte.
Andreas Galatis
2015-11-23 19:27:04 UTC
Permalink
Hallo,
Ich hatte es so verstanden, dass er auf die Synology- Büchse einen Mailserver installieren/betreiben will.
Üblicherweise betreibt man einen Mailserver mit einem Zertifikat, um Clients die Möglichkeit zu geben, sich mit SSL/TLS daran anzumelden.
Dazu wäre es auch sinnvoll, ein valides Zertifikat darauf zu haben.
Wenn ich alles verkehrt verstanden habe, dann tut es mir Leid irgendwen belästigt zu haben, dann fände ich es aber auch sehr gut, wenn Markus sich dazu äußern würde, was er denn erreichen will.
Wenn er eh keinen MX will/braucht, dann geht es doch erst Recht, ohne irgendwelchen RFCs (Danke Magnus für's heraussuchen) entgegenzulaufen.
Voraussetzung hierfür ist natürlich, dass Markus eine Domain hat, deren DNS er verwalten kann.

Mfg
Iodok

-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Sven Kolja Heinemann
Gesendet: Montag, 23. November 2015 18:01
An: cacert-***@lists.cacert.org
Betreff: Re: AW: AW: Server SSL Zertifikat in Kombination mit DynDNS
Post by Andreas Galatis
Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?
In dem Fall nicht zwingend. Der MX müsste hier auf sich selbst zeigen. Allerdings sieht der RFC dann vor, dass dieser weg gelassen werden kann. Was mir da aber nicht klar ist, wozu man hier CNAME bräuchte.
S. H.
2015-11-24 07:11:45 UTC
Permalink
Ich hatte es so verstanden, dass er auf die Synology- BÃŒchse einen Mailserver installieren/betreiben will.
Üblicherweise betreibt man einen Mailserver mit einem Zertifikat, um Clients die Möglichkeit zu geben, sich mit SSL/TLS daran anzumelden.
Das habe ich auch so verstanden. Aber dafÃŒr muss er den Mailserver
eigentlich nur so konfigurieren, dass er Mails an
"***@mwemail.dynvpn.de" annimmt und diese Domain anschließend bei
CAcert einpflegen. DafÃŒr kann unter eben dieser Domain ein MX
eingerichtet werden, der ebenfalls auf "mwemail.dynvpn.de" zeigt, aber
man sollte ihn auch einfach weg lassen können, denn der Mail-RFC sagt,
wenn kein MX vorhanden ist, soll der Mailserver versuchen, eine Mail
direkt an den Server im A-Record zuzustellen. Das wÀre dann wohl die
NAS, also das selbe.

Wo ich nicht ganz mitkomme ist, warum man dafÃŒr irgendwie einen MX auf
einen CNAME richten mÃŒsste. Ich glaube da hast du irgendwo einen
Denkfehler drin. Der TE hat außerdem erwÀhnt, dass er diesen Mailserver
dann nutzen will, um Mails an seine "echte" Domain entgegen zu nehmen
und dafÃŒr in dieser einen MX auf "mwemail.dynvpn.de" eingerichtet hat.
Das ist auch korrekt so, betrifft aber nicht das Zertifikats-Verfahren.
HierfÌr muss ja nur die dynamische Domain bestÀtigt werden.
Bernhard Fröhlich
2015-11-23 16:43:03 UTC
Permalink
Post by S. H.
Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt,
einen Cname als MX einzutragen.
Zumindest wÃŒrde es funktionieren
Darauf wÃŒrde ich nicht wetten, dass das immer funktioniert. Allerdings
verstehe ich nicht, was das ÃŒberhaupt mit dem Thema zu tun hat. Wohin
der MX zeigt ist fÌr Domain-PrÌfung doch völlig egal.
Die Domain-PrÃŒfung verschickt eine Mailprobe an eine bestimmte einer
Handvoll möglichen Adressen der Domain (admin@, hostmaster@, ...). Damit
man an die Mailprobe rankommt muss der MX sinnvoll gesetzt sein. Gab's
noch andere Varianten zur Domain-PrÃŒfung?

MfG
Ted

P.S.: Ich kann mir auch nicht vorstellen dass ein CNAME als MX irgendwas
bringt.
Ich wÌrde eher eine temporÀre IP-Adresse eintragen, weil nach dem
Mailprobe-Versand braucht man den MX eh nicht mehr. Also: Mailserver auf
einem Laptop installieren und schauen dass man irgendwie ohne NAT in's
Netz kommt.
S. H.
2015-11-23 16:58:32 UTC
Permalink
Damit man an die Mailprobe rankommt muss der MX sinnvoll gesetzt sein. Gab's noch andere Varianten zur Domain-PrÃŒfung?
Die gibt es in der Tat. NÀmlich die Mail-Adresse aus dem SOA record. :)

Ansonsten muss der MX in der tat sinnvoll gesetzt sein. Aber dafÃŒr muss man nicht mit CNAME hantieren. Soll außerdem die Domain des Mailservers selbst bestÀtigt werden, sollte der gerade aktuelle A oder AAAA record reichen.
S. H.
2015-11-23 16:24:01 UTC
Permalink
Post by Andreas Galatis
Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF sagen, vermutlich kann man das erst sagen wenn man da mal eine Arbitration anstößt.
Ich sehe da keine Probleme. Das Zertifikat bestÀtigt ja nur, das der Inhaber die Kontrolle Ìber die Adresse hat. Es besagt keinesfalls, dass nicht jemand anders ebenfalls Kontrolle hat. Es ist nunmal das Wesen von DNS, dass es von rechts nach links spezifischer wird. Wie du selbst schon an dem Bespiel mit der Registry gesagt hast, kann es fÌr die Zertifizierbarkeit keine Rolle spielen, auf welcher Ebene ein FQN sich bewegt.
Michael Nausch
2015-11-24 10:03:04 UTC
Permalink
Griaseichallemidananda!
verstehe ich das richtig, dass Du mit einem Zertifikat bestätigen
willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die
Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) überhaupt zulässig ist.
Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja,
wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem
Beispiel „mwemail.dynvpn.de“ der Domain „dynvpn.de“ dürften für Dritte
gar nicht ausgestellt werden, solange der Domaininhalber „dynvpn.de“
dazu nicht explizit zugestimmt hat.

Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich würde mir
als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich
niemals sein werde) für homebanking.postbank.de ein Zertifikat
ausstellen lassen. Über Manipulationen oder mit Hilfe von cash poisoning
gelingt es mir einen MX-Eintrag für die Subdomain
„homebanking.postbank.de“ zu komprommitieren. Was dann? Ohne TLSA und
DNSsec würden somit die Clientzugriffe eine valide TLS gesicherte
Phisingseite ohne Fehler anzeigen.

Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also würde ich das Thema "Subdomains" ohne Einverständnis des
Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in
eine solche CA ist in solchen nicht mehr gegeben und ich würde diese
asap aus dem TrustStore der Clients verbannen. DigiNotar lässt grüßen.

just my 2cents ...


Servus
Michael
Oder hab ich was falsch verstanden?
Liebe Grüsse
Rüdiger Schultz
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) läuft über eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record für meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat für das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafür eine Lösung?
Vielen Dank für Eure Hilfe.
Mit freundlichen Grüßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
Rüdiger Schultz
2015-11-24 10:13:19 UTC
Permalink
Danke Michael, das waren genau meine Gedanken (sogar Dein "Beispiel" habe ich ebenfalls durchgedacht - allerdings mit einer anderen Bank)...
Liebe Grüsse
Rüdiger

-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Michael Nausch
Gesendet: Dienstag, 24. November 2015 11:03
An: cacert-***@lists.cacert.org
Betreff: Re: Server SSL Zertifikat in Kombination mit DynDNS

Griaseichallemidananda!
verstehe ich das richtig, dass Du mit einem Zertifikat bestätigen
willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die
Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) überhaupt zulässig ist.
Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja, wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem Beispiel „mwemail.dynvpn.de“ der Domain „dynvpn.de“ dürften für Dritte gar nicht ausgestellt werden, solange der Domaininhalber „dynvpn.de“ dazu nicht explizit zugestimmt hat.

Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich würde mir als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich niemals sein werde) für homebanking.postbank.de ein Zertifikat ausstellen lassen. Über Manipulationen oder mit Hilfe von cash poisoning gelingt es mir einen MX-Eintrag für die Subdomain „homebanking.postbank.de“ zu komprommitieren. Was dann? Ohne TLSA und DNSsec würden somit die Clientzugriffe eine valide TLS gesicherte Phisingseite ohne Fehler anzeigen.

Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also würde ich das Thema "Subdomains" ohne Einverständnis des Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in eine solche CA ist in solchen nicht mehr gegeben und ich würde diese asap aus dem TrustStore der Clients verbannen. DigiNotar lässt grüßen.

just my 2cents ...


Servus
Michael
Oder hab ich was falsch verstanden?
Liebe Grüsse
Rüdiger Schultz
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) läuft über eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record für meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat für das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafür eine Lösung?
Vielen Dank für Eure Hilfe.
Mit freundlichen Grüßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
S. H.
2015-11-24 10:30:45 UTC
Permalink
Sorry, aber das ist Blödsinn. Cache poisoning ist ein ganz anderes
Thema, ist aber nicht nur Ìber Subdomains möglich. Da kannste auch
gleich die ganze TLD oder an anderer Stelle fÀlschen. Außerdem ist
"Subdomain" ein Laien-Begriff. Jeder hostname ist eine Subdomain und das
lÀsst sich technisch Ìberhaupt nicht feststellen. Manche LÀnder geben
z.B. grundsÀtzlich nur Domains auf dritter ebene heraus. Und natÌrlich
bekommst du eine Domain eines tieferen Levels nur mit zustimmung des
Besitzers der nÀchsthöheren Instanz. Anders geht es doch gar nicht.

Was du hier redest ist verwirrtes Zeug. Wenn einer Admin irgendwo ist,
kann er natÃŒrlich das System dort missbrauchen. Ich bin daher ganz froh,
dass du nicht nur nicht bei der Postbank arbeitest, sondern auch keine
Trust Stores verwaltest.
Post by Michael Nausch
Griaseichallemidananda!
Post by Rüdiger Schultz
verstehe ich das richtig, dass Du mit einem Zertifikat bestÀtigen
willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die
Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) Ìberhaupt zulÀssig ist.
Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja,
wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem
Beispiel „mwemail.dynvpn.de“ der Domain „dynvpn.de“ dÃŒrften fÃŒr Dritte
gar nicht ausgestellt werden, solange der Domaininhalber „dynvpn.de“
dazu nicht explizit zugestimmt hat.
Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich wÃŒrde mir
als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich
niemals sein werde) fÃŒr homebanking.postbank.de ein Zertifikat
ausstellen lassen. Über Manipulationen oder mit Hilfe von cash poisoning
gelingt es mir einen MX-Eintrag fÃŒr die Subdomain
„homebanking.postbank.de“ zu komprommitieren. Was dann? Ohne TLSA und
DNSsec wÃŒrden somit die Clientzugriffe eine valide TLS gesicherte
Phisingseite ohne Fehler anzeigen.
Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also wÌrde ich das Thema "Subdomains" ohne EinverstÀndnis des
Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in
eine solche CA ist in solchen nicht mehr gegeben und ich wÃŒrde diese
asap aus dem TrustStore der Clients verbannen. DigiNotar lÀsst grÌßen.
just my 2cents ...
Servus
Michael
Post by Rüdiger Schultz
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÀuft Ìber eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafÌr eine Lösung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÌßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.
Michael Nausch
2015-11-24 10:51:04 UTC
Permalink
Griasdegrischbal,
Sorry, aber das ist Blödsinn.
So so, ja wen Du das sagst, mag es in Deinem Umfeld ja vermutlich so sein.

Ich bleibe bei meiner Aussage: CA's in der derzeitigen Ausprägung sind
broken by design. Jeder x-beliebige kann sich Zertifikate ausstellen
lassen, wenn die CA ihren Job nicht ordendlicht macht.
Cache poisoning ist ein ganz anderes
Thema, ist aber nicht nur über Subdomains möglich.
Habe ich auch nicht anders gesagt - das war nur ein Beispiel um a eine
DV-Mail zu kommen.
Da kannste auch
gleich die ganze TLD oder an anderer Stelle fälschen.
Jetzt sind wir zusammen, klar kann man das, das Problem Diginotar hat
dies ja u.a. auch aufgezeigt.
Jeder hostname ist eine Subdomain
Oh jetzt wirds aber 100,00%ig ich hoffe Dein Alufolienabschirmhütchen
sitzt korrekt.
Was du hier redest ist verwirrtes Zeug.
Na wenn Du das sagst, dann nimm Deine Tablettchen und leg Dich wieder
brav ins Bettchen. Wenn die Jacke zum Schnüren am Rücken zu eng ist,
lass Dir helfen.

In diesem Sinne: PLONK


MfG
Michael
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
S. H.
2015-11-24 07:14:06 UTC
Permalink
Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise mÃŒsste genau das gehen. Sag deinem Mailserver, dass er
Mails unter "***@mwemail.dynvpn.de" annehmen soll, trag die dynamische
Adresse dann bei CAcert ein, und schau was passiert.
Bettina Müller
2015-11-24 07:20:34 UTC
Permalink
Post by S. H.
Wie kann ich ein Server Zertifikat für das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise müsste genau das gehen. Sag deinem Mailserver, dass er
Adresse dann bei CAcert ein, und schau was passiert.
Dann muss er aber Zugriff auf die Nameserver-Einträge für dynvpn.de
haben um einen MX-Eintrag für die Subdomain mwemail anlegen zu können.

Gruß

Privacy
S. H.
2015-11-24 07:29:54 UTC
Permalink
Dann muss er aber Zugriff auf die Nameserver-EintrÀge fÌr dynvpn.de
haben um einen MX-Eintrag fÌr die Subdomain mwemail anlegen zu können.
Wie ich bereits sagte, ist das nicht zwingend erforderlich, oder sollte
es zumindest sein, das RFC vorsieht, im Falle eines fehlenden MX einen
Zustellversuch an den Server im A bzw. AAAA selbst zu unternehmen. Da es
sich hierbei um den Mailserver selbst handelt, mÃŒsste das klappen.
Stefan Thode
2015-11-24 07:54:28 UTC
Permalink
Guten Morgen an die Runde,
zuerst einmal:
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gÃŒltig sein.
-Der Mailserver muss fÃŒr exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfÃŒllt = :-(

Gruß
Stefan
Post by S. H.
Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise mÃŒsste genau das gehen. Sag deinem Mailserver, dass er
Adresse dann bei CAcert ein, und schau was passiert.
Dann muss er aber Zugriff auf die Nameserver-EintrÀge fÌr dynvpn.de
haben um einen MX-Eintrag fÌr die Subdomain mwemail anlegen zu können.
Gruß
Privacy
--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
S. H.
2015-11-24 08:03:26 UTC
Permalink
Post by Stefan Thode
-Der MX Record muss gÃŒltig sein.
Das solltet ihr dann aber wirklich ÃŒberdenken. Siehe RFC 2821
Post by Stefan Thode
If no MX records are found, but an A RR is found, the A RR is treated as
if it was associated with an implicit MX RR, with a preference of 0,
pointing to that host.
Jürgen Schweizer
2015-11-24 08:15:24 UTC
Permalink
Post by S. H.
Post by Stefan Thode
-Der MX Record muss gÃŒltig sein.
Das solltet ihr dann aber wirklich ÃŒberdenken. Siehe RFC 2821
Post by Stefan Thode
If no MX records are found, but an A RR is found, the A RR is treated as
if it was associated with an implicit MX RR, with a preference of 0,
pointing to that host.
Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.

lg aus Graz, JÃŒrgen
S. H.
2015-11-24 08:23:40 UTC
Permalink
Post by Jürgen Schweizer
Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.
Dann reden wir hier ÃŒber ein Problem das nicht existiert. :)
Stefan Thode
2015-11-24 08:46:50 UTC
Permalink
Mit funktionierender MX, habe ich den default MX, der auf dem A oder
AAAA Eintrag liegt natÃŒrlich eingeschlossen.
Meine Vermutung geht dahin, daß ein lokaler Konfigurationsfehler existiert.

Gruß
Stefan
Post by S. H.
Post by Jürgen Schweizer
Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.
Dann reden wir hier ÃŒber ein Problem das nicht existiert. :)
--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Werner Dworak
2015-11-24 09:04:47 UTC
Permalink
Hier noch ein Standard-Text von Support. Vielleicht hilft der weiter.
Insbesondere ist zu beachten, dass es keinen dauerhaften Mailserver
geben muss. Es langt _EINMALIG_ die BestÀtigungs-E-Mail zu beantworten.
Und dafÃŒr sind alle Tricks erlaubt, z.B. DNS vorÃŒbergehend auf einen
bestehenden Mailserver zu verbiegen.

Viele GrÌße, Werner

Wenn Sie Ihrem Konto eine Domain zufÃŒgen wollen, mÃŒssen wir uns davon
Ìberzeugen, dass Sie Ìber diese Domain verfÌgen können. DafÌr senden wir
Ihnen eine E-Mail an eine Adresse, die zu dieser Domain gehört, und
erwarten von Ihnen eine Antwort darauf. Sie mÌssen dazu keinen regulÀren
Mailserver haben. Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. DafÌr können Sie beliebig tricksen. Sehen
Sie dazu
http://wiki.cacert.org/FAQ/HowThePingTestWorks und
http://wiki.cacert.org/FAQ/NoDomainName.

Wenn Sie die BestÀtigungs-E-Mail nicht bekommen haben, schauen Sie bitte
in Ihrem System nach, wo und warum die hÀngen geblieben ist. PrÌfen Sie
Firewalls, Malware-Scanner, Spamfilter, Greylisting und dergleichen.

Bitte schließen Sie in Ihre Suche auch Ihre DNS-Konfiguration oder die
Ihres Providers fÃŒr die betreffende E-Mail-Domain ein und schauen dort
grÃŒndlich nach. Wir unterstÃŒtzen voll IPv6 und benutzen es vorzugsweise.
Das bedeutet also, wenn Sie eine unvollstÀndige oder fehlerhafte
IPv6-Konfiguration haben, scheitert die Zustellung der Mail, selbst wenn
die IPv4-Konfiguration völlig in Ordnung ist.
Michael Nausch
2015-11-25 14:55:04 UTC
Permalink
Griasde Werner,
Post by Werner Dworak
Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. Dafür können Sie beliebig tricksen.
Vielen Dank für diese Information, nunmehr ist zumindest für mich klar,
wohin die Reise geht in Sachen CAcert.


Beste Grüße
Michael Nausch
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
S. H.
2015-11-25 15:01:06 UTC
Permalink
Vielen Dank fÃŒr diese Information, nunmehr ist zumindest fÃŒr mich klar,
wohin die Reise geht in Sachen CAcert.
Du spinnst doch. Ja, es ist egal, wie man "trickst", weil CAcert einen Donaininhaber bestÀtigt, nicht einen funktionierenden Mailserver! Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen GeschwÀtz.
Michael Nausch
2015-11-25 17:52:40 UTC
Permalink
H4ud164ch54u,

it's popcorn hour! ROFTL
Post by S. H.
Du spinnst doch.
Echt? Also Deine Umgangston ist ja schon ein ganz besonderer, oder aber
es fehlt einfach an (Lebens)-erfahrung, egal.
Post by S. H.
Ja, es ist egal, wie man "trickst",
Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.
Post by S. H.
weil CAcert einen Donaininhaber bestätigt, nicht einen funktionierenden Mailserver!
Wäää? Ist es nicht vielleicht eher so, dass ich der CAcert bestätige,
dass ich der Domaininhaber bin? Was soll das mit einem funktionierenden
Mailserver zu tun haben?

Im Moment sieht es doch so aus, ich beschreibe das mal etwas einfacher,
dass auch Du mit Deinem "Potential" die Sache nachlesen kannst. (Falls
Du nicht weißt wo unten ist, lass' z.B. ein Buch fallen; dort wo es
aufschlägt ist unten.):

https://secure.cacert.org/account.php?id=7

In der Mitte, dass ist da zwischen oben und unten befindet sich ein
Rahmen, in dem Du eine "Domain hinzufügen" kannst. Unten drunter ist
eine Schaltfläche mit der Bezeichnung:

"Ich bin der Domain-Inhaber und bin berechtigt über die Domain zu bestimmen"

O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate für eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.

Also sei mir bitte nicht böse, aber das kann nur schief gehen und IMHO
ist das so auch nicht gewollt von CAcert, oder einer anderen ernst zu
nehmenden CA. Sorry, aber mit solchen Tricksereien disqualifiziert sich
eine CA gänzlich.
Post by S. H.
Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen Geschwätz.
Ui, jetzt wird's ja noch interessanter. Robert bist Du das? Herbert?
Auch nicht? Na gut, scheint es doch noch mehr Vollhonks zu geben als
ursprünglich gedacht. Daher nochmals meine Bitte. Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut. Oder in Kassel mischt
man was in's Trinkwasser, wer weiß das schon genau. Oder geh einfach mal
an die frische Luft, soll den Verstand wieder frei machen, achso da hast
Du ja wohl ein größeres Defizit. :/

In diesem Sinne, ich wünsche Dir all das was Du mir auch wünscht. :-P


MfG
Michael Nausch
Stefan Dorn
2015-11-25 18:01:05 UTC
Permalink
Könnt ihr euren netten Umgangston bitte direkt klÀren, und die Liste
rauslassen??

DANKE!

Mit freundlichen GrÌßen
Stefan Dorn
Post by Michael Nausch
H4ud164ch54u,
it's popcorn hour! ROFTL
Post by S. H.
Du spinnst doch.
Echt? Also Deine Umgangston ist ja schon ein ganz besonderer, oder aber
es fehlt einfach an (Lebens)-erfahrung, egal.
Post by S. H.
Ja, es ist egal, wie man "trickst",
Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.
Post by S. H.
weil CAcert einen Donaininhaber bestÀtigt, nicht einen funktionierenden Mailserver!
WÀÀÀ? Ist es nicht vielleicht eher so, dass ich der CAcert bestÀtige,
dass ich der Domaininhaber bin? Was soll das mit einem funktionierenden
Mailserver zu tun haben?
Im Moment sieht es doch so aus, ich beschreibe das mal etwas einfacher,
dass auch Du mit Deinem "Potential" die Sache nachlesen kannst. (Falls
Du nicht weißt wo unten ist, lass' z.B. ein Buch fallen; dort wo es
https://secure.cacert.org/account.php?id=7
In der Mitte, dass ist da zwischen oben und unten befindet sich ein
Rahmen, in dem Du eine "Domain hinzufÃŒgen" kannst. Unten drunter ist
"Ich bin der Domain-Inhaber und bin berechtigt ÃŒber die Domain zu bestimmen"
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.
Also sei mir bitte nicht böse, aber das kann nur schief gehen und IMHO
ist das so auch nicht gewollt von CAcert, oder einer anderen ernst zu
nehmenden CA. Sorry, aber mit solchen Tricksereien disqualifiziert sich
eine CA gÀnzlich.
Post by S. H.
Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen GeschwÀtz.
Ui, jetzt wird's ja noch interessanter. Robert bist Du das? Herbert?
Auch nicht? Na gut, scheint es doch noch mehr Vollhonks zu geben als
ursprÃŒnglich gedacht. Daher nochmals meine Bitte. Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut. Oder in Kassel mischt
man was in's Trinkwasser, wer weiß das schon genau. Oder geh einfach mal
an die frische Luft, soll den Verstand wieder frei machen, achso da hast
Du ja wohl ein größeres Defizit. :/
In diesem Sinne, ich wÃŒnsche Dir all das was Du mir auch wÃŒnscht. :-P
MfG
Michael Nausch
S. H.
2015-11-25 18:08:40 UTC
Permalink
Post by Michael Nausch
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.
Bitte was?!? :D
Es ging doch um's "tricksen" in AnfÌhrungszeichen um die Mail zustellen zu können, auch wenn man nicht dauerhaft MailfunktionslitÀt unter der Domain bereitstellen will. Wo willst du denn sonst tricksen? Darfst du gerne versuchen im Formular falsche Angaben zu machen. Du wirst es nicht schaffen, zu einer BestÀtigung zu kommen. Da vertrau ich CAcert voll und ganz. ;)
Ich sag ja, es ist einfach zusammenhanglos wie du argumentierst. Nur deswegen geh ich so mit dir um. Weil du hier eine OT Diskussion anfÀngt und mit fadenscheinigen Argumenten versucht, die GlaubwÌrdigkeit von CAcert in Frage zu stellen.
S. H.
2015-11-25 18:11:31 UTC
Permalink
Post by Michael Nausch
Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut.
Immerhin bringst du mich zum lachen. Wenigstens etwas. :)
Michael Nausch
2015-11-26 17:29:27 UTC
Permalink
HI,
Post by S. H.
Immerhin bringst du mich zum lachen. Wenigstens etwas. :)
Na wenigstens was. ;)


ttyl
Django
Werner Dworak
2015-11-25 18:59:00 UTC
Permalink
Hallo Michael Nausch,
Post by Michael Nausch
Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.
Der eigentliche Umgang mit Zertifikaten sollte stets ohne Trickserei
sein. Aber bei der BestÀtigung, dass man Ìber eine Domain verfÌgen kann,
können Provisorien oder Sonderwege sinnvoll sein, um das
Henne-Ei-Problem zu lösen.
Post by Michael Nausch
Ist es nicht vielleicht eher so, dass ich der CAcert bestÀtige,
dass ich der Domaininhaber bin?
Nein.

FÌr ein persönliches CAcert-Konto ist es nicht erforderlich, dass Du der
Besitzer der Domain bist. Es ist ausreichend, wenn Du in gewissem Umfang
ÃŒber die Domain verfÃŒgen kannst.

Nur fÃŒr ein Organisations-Konto ist es erforderlich, dass die
Organisation Besitzer der Domain ist (Whois-Eintrag).
Post by Michael Nausch
Was soll das mit einem funktionierenden Mailserver zu tun haben?
Nun, mit einem funktionierenden regulÀren Mailserver ist es leicht, eine
an z.B. ***@meine.domain.de geschickte E-Mail zu empfangen und zu
beantworten. Aber das muss (noch) nicht vorhanden sein. Es genÃŒgt, wenn
eine BestÀtigungs-Mails irgendwie entgegen genommen und beantwortet wird.
Post by Michael Nausch
"Ich bin der Domain-Inhaber und bin berechtigt ÃŒber die Domain zu bestimmen"
Falsch. Da steht:

"Ich bin der Domain-Inhaber _ODER_ bin berechtigt, ÃŒber die Domain zu
bestimmen"

Wie gesagt, fÌr ein persönliches CAcert-Konto ist es nicht erforderlich,
dass Du der Besitzer der Domain bist. Es ist ausreichend, wenn Du in
gewissem Umfang ÃŒber die Domain bestimmen kannst.
Post by Michael Nausch
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen?
NatÃŒrlich sollst und darfst Du keine falschen Angaben machen. Lediglich,
um provisorisch die BestÀtigungs-Mail zu empfangen und zu beantworten,
kannst Du etwas tricksen.

Wenn wir feststellen, dass Du in Deinem CAcert-Konto falsche Angaben
gemacht hast, wird Dein Konto umgehend blockiert und gegebenenfalls
zwangsweise geschlossen. Und wenn Du dadurch anderen einen Schaden
zugefÃŒgt hast, bist Du schadenersatzpflichtig.

Außerdem bestÀtigen wir in Zertifikaten nur das, was wir ÃŒberprÃŒft
haben. So kannst Du in etliche Felder keine EintrÀge machen, weil wir es
nicht ÌberprÌft haben, nicht ÌberprÌfen können oder wollen. In unserer
Datenbank werden an persönlichen Daten nur der Name und das Geburtsdatum
gespeichert, keine Adresse, keine Kontonummer und keine sonstigen Daten.
Daneben werden natÃŒrlich die zugeordneten E-Mail-Adressen, Domains,
Zertifikate und dergleichen gespeichert. aber auch da nur die
wesentlichen Daten.

Wenn Du weniger als 50 Assurance-Punkte hast, bekommst Du nur ein
namenloses Zertifikat, das lediglich besagt, dass es diese
E-Mail-Adresse oder Domain gibt.

Erst wenn Du von mindestens zwei Personen assurt bist (ÃŒber 50 Punkte)
und damit Deine persönlichen Daten sicher festgestellt sind, kannst Du
ein namentliches Zertifikat bekommen.

Entsprechend kannst Du Daten, die eine Organisation betreffen, nur in
Dein Zertifikat aufnehmen, wenn dies Organisation assurt ist, also
sichergestellt ist, dass es diese Organisation gibt und ihre Daten stimmen.

Viele GrÌße, Werner
Michael Nausch
2015-11-26 17:28:37 UTC
Permalink
Griasde Werner,
Natürlich sollst und darfst Du keine falschen Angaben machen. Lediglich,
um provisorisch die Bestätigungs-Mail zu empfangen und zu beantworten,
kannst Du etwas tricksen.
O.K., dann bin ich ja beruhigt, hatte Dich da falsch verstanden, was die
Trickserei angeht.
Wenn wir feststellen, dass Du in Deinem CAcert-Konto falsche Angaben
gemacht hast, wird Dein Konto umgehend blockiert und gegebenenfalls
zwangsweise geschlossen.
Don't panic, ich bin da sehr konservativ eingestellt, wenn es um
Zertifikate und CAs geht.
Entsprechend kannst Du Daten, die eine Organisation betreffen, nur in
Dein Zertifikat aufnehmen, wenn dies Organisation assurt ist, also
sichergestellt ist, dass es diese Organisation gibt und ihre Daten stimmen.
Tja, leider assurt CAcert mir meine non profit organisation (.org)
nicht. Welche, na die da: Nausch (ohne der tld). Schade eigentlich.


Servus
Django
Werner Dworak
2015-11-26 17:59:31 UTC
Permalink
Hallo Michael,
Post by Michael Nausch
Tja, leider assurt CAcert mir meine non profit organisation (.org)
nicht. Welche, na die da: Nausch (ohne der tld). Schade eigentlich.
Um was fÃŒr eine Organisation handelt es sich?

GrundsÀtzlich kann jede greifbare Organisation assured werden, auch eine
Ein-Personen-Organisation oder eine Untergruppe einer Organisation. Aber
es muss irgendwie amtlich sichergestellt sein, dass es diese
Organisation gibt und wer fÃŒr diese Organisation oder Abteilung
zeichnungsberechtigt ist.

Das kann ein Eintrag sein im Handelsregister, Vereinsregister,
Gewerbeanmeldung, Innung, Kammer oder was immer. Zu den schwierigsten
Organisationen gehören Ìbrigens Schulen, um bei denen die vollstÀndige
Kette der Berechtigungen zu erhalten.

Es muss ich aber immer um eine eindeutige natÃŒrliche oder juristische
Person handeln. So lÀsst sich in der Regel eine Gesellschaft
bÃŒrgerlichen Rechts nicht assuren.

Einzelheiten kann Dir dazu ein Organisations-Assurer sagen. Da wird in
jedem Einzelfall geprÌft, ob sich ein Weg finden lÀsst.

Viele GrÌße, Werner

Andreas Boehlk
2015-11-25 21:53:34 UTC
Permalink
Hallo Michael,

mal außerhalb der Diskussion.
Weißt Du eigentlich, daß Du ein ungÃŒltiges Zertifikat fÃŒr die Seite
nausch.org nutzt?! Dadurch ist sie nicht vertrauenswÃŒrdig.

Gruß aus Celle

Andreas
Post by Michael Nausch
Griasde Werner,
Post by Werner Dworak
Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. DafÌr können Sie beliebig tricksen.
Vielen Dank fÃŒr diese Information, nunmehr ist zumindest fÃŒr mich klar,
wohin die Reise geht in Sachen CAcert.
Beste GrÌße
Michael Nausch
--
Andreas Boehlk
Hermann-Löns-Straße 10
29223 Celle
Tel.: 05141-2999511
Mobil: 0160-93586056
E-Post: ***@boehlk.com
Michael Nausch
2015-11-26 17:22:25 UTC
Permalink
Griasde Andreas,
Weißt Du eigentlich, daß Du ein ungültiges Zertifikat für die Seite
nausch.org nutzt?! Dadurch ist sie nicht vertrauenswürdig.
Bei der Seite nausch.org war bis dato *kein* TLS geplant und
entsprechend aktiviert. Was dann bei Namebased vHOSTs passiert weissst
Du ja, Du fällst dann in den default-host. Dann passt natürlich der
vHostname nicht zum Zertifikat.

Ich hab aber extra für Dich ;) ein Zertifikat für nausch.org hinterlegt.


Servus
Django
Bettina Müller
2015-11-24 08:05:12 UTC
Permalink
Post by Stefan Thode
Guten Morgen an die Runde,
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gültig sein.
-Der Mailserver muss für exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfüllt = :-(
D.h. es wäre besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann für die eigene Domain zu erstellen.

Gruß

Privacy
S. H.
2015-11-24 08:23:05 UTC
Permalink
D.h. es wÀre besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann fÃŒr die eigene Domain zu erstellen.
Das hat er ja. Aber MX heißt ja nur, dass dieser Server Mails fÃŒr
Adressen unter dieser Domain annimmt. Hat aber nichts mit dem Zertifikat
fÃŒr den Mailserver zu tun. Er kann sein NAS als MX unter 1000 Domains
eintragen, das tut ÃŒberhaupt nichts zu sachen. MX heißt ja nur "Dieser
Server nimmt die Mails fÃŒr *@meinedomain an". Die TLS-Verbindung wird
dann aber mit dem Dyn-Server hergestellt.

Realistisch sieht es so aus, dass man das BestÀtigungs-System auf diese
Weise nicht umgehen kann. Und auch ein CNAME hilft hier nicht weiter, weil:

Echte Domain => CNAME auf DynDNS => MX
* Erlaubt und möglich
* WÃŒrde aber wieder den MX-Eintrag auf der DynDNS-Erfordern
* CNAME ist ein Alias fÃŒr alle Records des Ziels und schließt weitere
Records aus

Nicht erlaubt:
Echte Domain => MX auf einen CNAME-Host => Und der Zeigt wohin?
WÃŒrde also auch nichts bringen.
Bettina Müller
2015-11-24 11:41:05 UTC
Permalink
Post by Bettina Müller
D.h. es wäre besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann für die eigene Domain zu erstellen.
Das hat er ja. Aber MX heißt ja nur, dass dieser Server Mails für
Adressen unter dieser Domain annimmt. Hat aber nichts mit dem Zertifikat
für den Mailserver zu tun. Er kann sein NAS als MX unter 1000 Domains
eintragen, das tut überhaupt nichts zu sachen. MX heißt ja nur "Dieser
dann aber mit dem Dyn-Server hergestellt.
Realistisch sieht es so aus, dass man das Bestätigungs-System auf diese
Echte Domain => CNAME auf DynDNS => MX
* Erlaubt und möglich
* Würde aber wieder den MX-Eintrag auf der DynDNS-Erfordern
nö - als MX wird immer ein Name eingetragen d.h.

meinedomain.xy MX 10 meinservername.dyndns.xy

dann muss die Mail an meinedomain.xy gerichtet werden, wofür sich leicht
ein Zertifikat erstellen lässt.



dyndns braucht dafür KEINEN MX Eintrag


Gruß Privacy
S. H.
2015-11-24 11:50:56 UTC
Permalink
dann muss die Mail an meinedomain.xy gerichtet werden, wofÃŒr sich leicht
ein Zertifikat erstellen lÀsst.
Was zur Folge hat, dass du ein Zerzifikat fÃŒr diese Domain hast unf nicht fÃŒr den Mailserver. ;)
S. H.
2015-11-24 11:52:35 UTC
Permalink
nö - als MX wird immer ein Name eingetragen d.h.
Ich hab nix anderes gesagt. Nur mÃŒsste der MX Record dennoch beim DynDNS-Anbieter angelegt werden, egal wie viele CNAMEs darauf verweisen.
Stefan Thode
2015-11-24 19:56:34 UTC
Permalink
Hallo an die Runde,
ich habe noch 2 Dinge fÌr die KlÀrung:

1. Die Perspektive:
Bei dnydns kann man sich einen HOST registrieren unter deren Domain.
Bei CAcert registriert man diesen Host allerdings als SLD. Das kann so
nicht unterschieden werden.
Dyndns unterstÃŒtzt es insofern, daß die die FunktionalitÀt einer SLD im
DNS zulassen.
Damit kann eine SLD wie z.B. meinedomain.dyndns.xy verifiziert werden.
D.h. auch die Emailabfrage geht z.B. an ***@meinedomain.dnydns.xy
NatÃŒrlich kann dann fÃŒr diese SLD/diesen Host auch ein Zertifikat
signiert werden.
Im Zertifikat findet sich dann auch nicht die Domain dyndns.xy wieder,
sondern lediglich die SLD bzw. der Host.

2. CNAME als MX
Die Verwendung eines CNAME als Pointer fÃŒr den MX, ist lt. RFC 2181
strikt untersagt.
Im DNS Server unter Windows bekommt man auch direkt eine Fehlermeldung,
wenn man versucht so eine Definition anzulegen.
Hier ein Auszug:

RFC 2181 Clarifications to the DNS Specification July 1997
10.3. MX and NS records

The domain name used as the value of a NS resource record, or part of
the value of a MX resource record must not be an alias. Not only is
the specification clear on this point, but using an alias in either
of these positions neither works as well as might be hoped, nor well
fulfills the ambition that may have led to this approach. This
domain name must have as its value one or more address records.
Currently those will be A records, however in the future other record
types giving addressing information may be acceptable. It can also
have other RRs, but never a CNAME RR.

Searching for either NS or MX records causes "additional section
processing" in which address records associated with the value of the
record sought are appended to the answer. This helps avoid needless
extra queries that are easily anticipated when the first was made.

Additional section processing does not include CNAME records, let
alone the address records that may be associated with the canonical
name derived from the alias. Thus, if an alias is used as the value
of an NS or MX record, no address will be returned with the NS or MX
value. This can cause extra queries, and extra network burden, on
every query. It is trivial for the DNS administrator to avoid this
by resolving the alias and placing the canonical name directly in the
affected record just once when it is updated or installed. In some
particular hard cases the lack of the additional section address
records in the results of a NS lookup can cause the request to fail.

Ich weiß, daß es oft anders praktiziert wird, und ich selbst sehe CNAME
als MX auch als sehr praktisch an.
Aber technisch verdoppelt es die DNS Abfragen und ist fachlich daher als
falsch anzusehen.

Gruß
Stefan
Post by S. H.
nö - als MX wird immer ein Name eingetragen d.h.
Ich hab nix anderes gesagt. Nur mÃŒsste der MX Record dennoch beim DynDNS-Anbieter angelegt werden, egal wie viele CNAMEs darauf verweisen.
--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
S. H.
2015-11-24 20:44:54 UTC
Permalink
Post by Bernhard Fröhlich
CNAME als MX
Die Verwendung eines CNAME als Pointer fÃŒr den MX, ist lt. RFC 2181 strikt untersagt.
Ja, das ist korrekt. Man darf einen MX nicht auf einen Hostname richten, welcher ein CNAME ist. Was man aber natÃŒrlich kann, ist eine Mail an einen CNAME host schicken. Sie wird dann ÃŒber den MX der Zieldomain zugestellt.
S. H.
2015-11-24 20:51:16 UTC
Permalink
Ich weiß, daß es oft anders praktiziert wird, und ich selbst sehe CNAME als MX auch als sehr praktisch an.
Ich glaube der Grund warum das nicht erlaubt ist, ist dass es eben nicht sinnvoll ist. MX ist selbst ein "name pointer", "wie auch cname". Daher macht es keinen Sinn, einen solchen auf einen CNAME zu richten, eben weil man dann das Ziel auch direkt als MX setzen kann.

Eine konfiguration wie die Folgende ist dagegen völlig in Ordnung und auch erlaubt:
* Domain1 in CNAME Domain3
* Domain2 in CNAME Domain3
* Domain3 in MX mailserver.domain
* mailserver.domain in A 0.0.0.0

Verboten ist nur das:
* Domain1 in MX Domain2
* Domain2 in CNAME mailserver.donain

Eben weil: Nicht sinnvoll.
Bernhard Fröhlich
2015-11-24 08:59:07 UTC
Permalink
Servus nochmal,

die Anfrage nach Zertifikaten fÃŒr DynDNS-Domains kommt hier regelmÀßig
durch. Insofern wÃŒrde es sich empfehlen dafÃŒr eine Seite im WiKi anzulegen.
Insbesondere nachdem offensichtlich keiner alleine alle Aspekte des
Problems ÃŒberblickt... :-)

Kann das jemand machen? Ich habe momentan leider sehr wenig Zeit, und
bis ich wieder Zeit habe habe ich's vermutlich vergessen...

MfG
Ted
Post by Stefan Thode
Guten Morgen an die Runde,
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gÃŒltig sein.
-Der Mailserver muss fÃŒr exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfÃŒllt = :-(
Gruß
Stefan
Post by S. H.
Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise mÃŒsste genau das gehen. Sag deinem Mailserver, dass er
Adresse dann bei CAcert ein, und schau was passiert.
Dann muss er aber Zugriff auf die Nameserver-EintrÀge fÌr dynvpn.de
haben um einen MX-Eintrag fÌr die Subdomain mwemail anlegen zu können.
Gruß
Privacy
Loading...