Server SSL Zertifikat in Kombination mit DynDNS

Hallo,

verstehe ich das richtig, dass Du mit einem Zertifikat bestÃ€tigen willst, dass die Subdomain âmwemail.dynvpn.deâ Dir gehÃ¶rt, obwohl die Domain âdynvpn.deâ NICHT Dir gehÃ¶rt?

Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) ÃŒberhaupt zulÃ€ssig ist.

Oder hab ich was falsch verstanden?

Liebe GrÃŒsse

RÃŒdiger Schultz

Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Markus Weyland
Gesendet: Montag, 23. November 2015 15:26
An: cacert-***@lists.cacert.org
Betreff: Server SSL Zertifikat in Kombination mit DynDNS

Hallo,

ich habe folgendes Problem.

Mein Mailserver (Mail Server auf Synology NAS) lÃ€uft ÃŒber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine Domains (mweyland.de und weitere) hinterlegt.

Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.

Gibt es dafÃŒr eine LÃ¶sung?

Vielen Dank fÃŒr Eure Hilfe.

Mit freundlichen GrÃŒÃen
Markus Weyland

P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

Andreas Krueger

2015-11-23 14:42:47 UTC

Doch, dass muss gehen.
Ich kann auch fÃŒr "remote.dyndns.org" Zertifikate erstellen, auch wenn ich die nicht mehr nutze ...

Gruss,

Andreas KrÃŒger

Post by Markus Weyland
Hallo,
verstehe ich das richtig, dass Du mit einem Zertifikat bestÃ€tigen willst, dass die Subdomain âmwemail.dynvpn.deâ Dir gehÃ¶rt, obwohl die Domain âdynvpn.deâ NICHT Dir gehÃ¶rt?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) ÃŒberhaupt zulÃ€ssig ist.
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
Gesendet: Montag, 23. November 2015 15:26
Betreff: Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÃ€uft ÃŒber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.
Gibt es dafÃŒr eine LÃ¶sung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÃŒÃen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

Bernhard Fröhlich

2015-11-23 15:07:20 UTC

Das mÃŒsste momentan technisch dann funktionieren, wenn man den MX der
DomÃ€ne auf einen Mailserver setzen kann der Mails z.B. an
"***@mwemail.dynvpn.de" mindestens temporÃ€r an einen weiterleitet.
Dann kann man auf die Mailprobe zugreifen und die Domain bestÃ€tigen.

Es besteht mindestens mal das Problem dass der EigentÃŒmer der
ÃŒbergeordneten Domain (in dem Fall dynvpn.de) sich diese DomÃ€ne
registrieren, und dann Zertifikate explizit fÃŒr dein NAS, oder auch
Wildcard-Zertifikate ausstellen kÃ¶nnte. Ob hier beim Registrieren einer
(Sub-)Domain bei CAcert entsprechende Checks ÃŒber die Datenbank laufen
weiÃ ich nicht.

Demnach gehst mindestens mal Du das zusÃ€tzliche Risiko ein dass der
DynDNS-Provider auch Zertifikate fÃŒr dein NAS ausstellen kÃ¶nnte. FÃŒr ein
NAS in einem gesicherten privaten Netzwerk kann das akzeptabel sein, fÃŒr
ein Ã¶ffentlich zugÃ€ngliches System wÃŒrde ich definitiv davon abraten
sobald es auf dem Server was zu holen gibt.

Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF
sagen, vermutlich kann man das erst sagen wenn man da mal eine
Arbitration anstÃ¶Ãt. Du hast zwar die Kontrolle ÃŒber die DomÃ€ne, aber
nicht die ausschlieÃliche Kontrolle.
Andererseits gilt das, etwas abgeschwÃ€cht, fÃŒr praktisch jede DomÃ€ne.
Das DE-NIC kÃ¶nnte natÃŒrlich auch die .de DomÃ€ne bei CAcert registrieren
und damit Unfug treiben...

Ich hoffe, das hilft weiter,
mfG
Ted
;)

Post by Markus Weyland
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
Weyland
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÃ€uft ÃŒber eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafÃŒr eine LÃ¶sung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÃŒÃen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

Andreas Galatis

2015-11-23 15:51:24 UTC

Hallo,

es entspricht zwar nicht den Empfehlungen, aber Du kÃ¶nntest einen Cname name fÃŒr einen Host auf die dynamische Adresse angeben, der dann auf den dynamischen Host verweist.

Damit hast Du die Kontrolle ÃŒber den Host, den dazugehÃ¶rigen Eintrag.

Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.

Zumindest wÃŒrde es funktionieren

Mfg

Iodok

Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Bernhard FrÃ¶hlich
Gesendet: Montag, 23. November 2015 16:07
An: cacert-***@lists.cacert.org
Betreff: Re: Server SSL Zertifikat in Kombination mit DynDNS

Am 23.11.2015 um 15:40 schrieb RÃŒdiger Schultz:

Hallo,

verstehe ich das richtig, dass Du mit einem Zertifikat bestÃ€tigen willst, dass die Subdomain âmwemail.dynvpn.deâ Dir gehÃ¶rt, obwohl die Domain âdynvpn.deâ NICHT Dir gehÃ¶rt?

Ich kann mir nicht vorstellen, dass das (formell oder auch nur technisch) ÃŒberhaupt zulÃ€ssig ist.

Das mÃŒsste momentan technisch dann funktionieren, wenn man den MX der DomÃ€ne auf einen Mailserver setzen kann der Mails z.B. an <mailto:***@mwemail.dynvpn.de> "***@mwemail.dynvpn.de" mindestens temporÃ€r an einen weiterleitet. Dann kann man auf die Mailprobe zugreifen und die Domain bestÃ€tigen.

Es besteht mindestens mal das Problem dass der EigentÃŒmer der ÃŒbergeordneten Domain (in dem Fall dynvpn.de) sich diese DomÃ€ne registrieren, und dann Zertifikate explizit fÃŒr dein NAS, oder auch Wildcard-Zertifikate ausstellen kÃ¶nnte. Ob hier beim Registrieren einer (Sub-)Domain bei CAcert entsprechende Checks ÃŒber die Datenbank laufen weiÃ ich nicht.

Demnach gehst mindestens mal Du das zusÃ€tzliche Risiko ein dass der DynDNS-Provider auch Zertifikate fÃŒr dein NAS ausstellen kÃ¶nnte. FÃŒr ein NAS in einem gesicherten privaten Netzwerk kann das akzeptabel sein, fÃŒr ein Ã¶ffentlich zugÃ€ngliches System wÃŒrde ich definitiv davon abraten sobald es auf dem Server was zu holen gibt.

Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF sagen, vermutlich kann man das erst sagen wenn man da mal eine Arbitration anstÃ¶Ãt. Du hast zwar die Kontrolle ÃŒber die DomÃ€ne, aber nicht die ausschlieÃliche Kontrolle.
Andererseits gilt das, etwas abgeschwÃ€cht, fÃŒr praktisch jede DomÃ€ne. Das DE-NIC kÃ¶nnte natÃŒrlich auch die .de DomÃ€ne bei CAcert registrieren und damit Unfug treiben...

Ich hoffe, das hilft weiter,
mfG
Ted
;)

Oder hab ich was falsch verstanden?

Liebe GrÃŒsse

RÃŒdiger Schultz

Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Markus Weyland
Gesendet: Montag, 23. November 2015 15:26
An: cacert-***@lists.cacert.org
Betreff: Server SSL Zertifikat in Kombination mit DynDNS

Hallo,

ich habe folgendes Problem.

Mein Mailserver (Mail Server auf Synology NAS) lÃ€uft ÃŒber eine dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine Domains (mweyland.de und weitere) hinterlegt.

Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung ist eine bei CACert registrierte Domain, das geht aber mit "mwemail.dynvpn.de" nicht.

Gibt es dafÃŒr eine LÃ¶sung?

Vielen Dank fÃŒr Eure Hilfe.

Mit freundlichen GrÃŒÃen
Markus Weyland

P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

Magnus Wagner

2015-11-23 16:00:13 UTC

Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.
Zumindest würde es funktionieren

RFC2181
10.3. MX and NS records
The domain name used as the value of a NS resource record, or part of
the value of a MX resource record must not be an alias.

RFC1912
[RFC 1034] in section 3.6.2 says this should not be done, and [RFC
974] explicitly states that MX records shall not point to an alias
defined by a CNAME.

Grüße aus Berlin,
Ma

S. H.

2015-11-23 16:28:30 UTC

Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.
Zumindest wÃŒrde es funktionieren

Darauf wÃŒrde ich nicht wetten, dass das immer funktioniert. Allerdings verstehe ich nicht, was das ÃŒberhaupt mit dem Thema zu tun hat. Wohin der MX zeigt ist fÃŒr Domain-PrÃŒfung doch vÃ¶llig egal.

Andreas Galatis

2015-11-23 16:42:43 UTC

Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?

Mg

Iodok

Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Sven Kolja Heinemann
Gesendet: Montag, 23. November 2015 17:29
An: cacert-***@lists.cacert.org
Betreff: Re: AW: Server SSL Zertifikat in Kombination mit DynDNS

Am 23.11.2015 um 16:51 schrieb Andreas Galatis <***@galatis.de>:

Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt, einen Cname als MX einzutragen.

Zumindest wÃŒrde es funktionieren

Darauf wÃŒrde ich nicht wetten, dass das immer funktioniert. Allerdings verstehe ich nicht, was das ÃŒberhaupt mit dem Thema zu tun hat. Wohin der MX zeigt ist fÃŒr Domain-PrÃŒfung doch vÃ¶llig egal.

S. H.

2015-11-23 17:01:03 UTC

Post by Andreas Galatis
Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?

In dem Fall nicht zwingend. Der MX mÃŒsste hier auf sich selbst zeigen. Allerdings sieht der RFC dann vor, dass dieser weg gelassen werden kann. Was mir da aber nicht klar ist, wozu man hier CNAME brÃ€uchte.

Andreas Galatis

2015-11-23 19:27:04 UTC

Hallo,
Ich hatte es so verstanden, dass er auf die Synology- Büchse einen Mailserver installieren/betreiben will.
Üblicherweise betreibt man einen Mailserver mit einem Zertifikat, um Clients die Möglichkeit zu geben, sich mit SSL/TLS daran anzumelden.
Dazu wäre es auch sinnvoll, ein valides Zertifikat darauf zu haben.
Wenn ich alles verkehrt verstanden habe, dann tut es mir Leid irgendwen belästigt zu haben, dann fände ich es aber auch sehr gut, wenn Markus sich dazu äußern würde, was er denn erreichen will.
Wenn er eh keinen MX will/braucht, dann geht es doch erst Recht, ohne irgendwelchen RFCs (Danke Magnus für's heraussuchen) entgegenzulaufen.
Voraussetzung hierfür ist natürlich, dass Markus eine Domain hat, deren DNS er verwalten kann.

Mfg
Iodok

-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Sven Kolja Heinemann
Gesendet: Montag, 23. November 2015 18:01
An: cacert-***@lists.cacert.org
Betreff: Re: AW: AW: Server SSL Zertifikat in Kombination mit DynDNS

Post by Andreas Galatis
Vielleicht kann ich ja nicht lesen, aber es geht doch um einen Mailserver auf einem NAS mit dynamischer IP. Das hat meistens etwas mit MX zu tun, oder nicht?

In dem Fall nicht zwingend. Der MX müsste hier auf sich selbst zeigen. Allerdings sieht der RFC dann vor, dass dieser weg gelassen werden kann. Was mir da aber nicht klar ist, wozu man hier CNAME bräuchte.

S. H.

2015-11-24 07:11:45 UTC

Ich hatte es so verstanden, dass er auf die Synology- BÃŒchse einen Mailserver installieren/betreiben will.
Ãblicherweise betreibt man einen Mailserver mit einem Zertifikat, um Clients die MÃ¶glichkeit zu geben, sich mit SSL/TLS daran anzumelden.

Das habe ich auch so verstanden. Aber dafÃŒr muss er den Mailserver
eigentlich nur so konfigurieren, dass er Mails an
"***@mwemail.dynvpn.de" annimmt und diese Domain anschlieÃend bei
CAcert einpflegen. DafÃŒr kann unter eben dieser Domain ein MX
eingerichtet werden, der ebenfalls auf "mwemail.dynvpn.de" zeigt, aber
man sollte ihn auch einfach weg lassen kÃ¶nnen, denn der Mail-RFC sagt,
wenn kein MX vorhanden ist, soll der Mailserver versuchen, eine Mail
direkt an den Server im A-Record zuzustellen. Das wÃ€re dann wohl die
NAS, also das selbe.

Wo ich nicht ganz mitkomme ist, warum man dafÃŒr irgendwie einen MX auf
einen CNAME richten mÃŒsste. Ich glaube da hast du irgendwo einen
Denkfehler drin. Der TE hat auÃerdem erwÃ€hnt, dass er diesen Mailserver
dann nutzen will, um Mails an seine "echte" Domain entgegen zu nehmen
und dafÃŒr in dieser einen MX auf "mwemail.dynvpn.de" eingerichtet hat.
Das ist auch korrekt so, betrifft aber nicht das Zertifikats-Verfahren.
HierfÃŒr muss ja nur die dynamische Domain bestÃ€tigt werden.

Bernhard Fröhlich

2015-11-23 16:43:03 UTC

Post by Andreas Galatis
Es gibt allerdings iregndein RFC, welches zumindest nicht empfiehlt,
einen Cname als MX einzutragen.
Zumindest wÃŒrde es funktionieren

Darauf wÃŒrde ich nicht wetten, dass das immer funktioniert. Allerdings
verstehe ich nicht, was das ÃŒberhaupt mit dem Thema zu tun hat. Wohin
der MX zeigt ist fÃŒr Domain-PrÃŒfung doch vÃ¶llig egal.

Die Domain-PrÃŒfung verschickt eine Mailprobe an eine bestimmte einer
Handvoll mÃ¶glichen Adressen der Domain (admin@, hostmaster@, ...). Damit
man an die Mailprobe rankommt muss der MX sinnvoll gesetzt sein. Gab's
noch andere Varianten zur Domain-PrÃŒfung?

MfG
Ted

P.S.: Ich kann mir auch nicht vorstellen dass ein CNAME als MX irgendwas
bringt.
Ich wÃŒrde eher eine temporÃ€re IP-Adresse eintragen, weil nach dem
Mailprobe-Versand braucht man den MX eh nicht mehr. Also: Mailserver auf
einem Laptop installieren und schauen dass man irgendwie ohne NAT in's
Netz kommt.

S. H.

2015-11-23 16:58:32 UTC

Damit man an die Mailprobe rankommt muss der MX sinnvoll gesetzt sein. Gab's noch andere Varianten zur Domain-PrÃŒfung?

Die gibt es in der Tat. NÃ€mlich die Mail-Adresse aus dem SOA record. :)

Ansonsten muss der MX in der tat sinnvoll gesetzt sein. Aber dafÃŒr muss man nicht mit CNAME hantieren. Soll auÃerdem die Domain des Mailservers selbst bestÃ€tigt werden, sollte der gerade aktuelle A oder AAAA record reichen.

S. H.

2015-11-23 16:24:01 UTC

Post by Andreas Galatis
Ob das von den CAcert Policies her erlaubt ist kann ich nicht aus dem FF sagen, vermutlich kann man das erst sagen wenn man da mal eine Arbitration anstÃ¶Ãt.

Ich sehe da keine Probleme. Das Zertifikat bestÃ€tigt ja nur, das der Inhaber die Kontrolle ÃŒber die Adresse hat. Es besagt keinesfalls, dass nicht jemand anders ebenfalls Kontrolle hat. Es ist nunmal das Wesen von DNS, dass es von rechts nach links spezifischer wird. Wie du selbst schon an dem Bespiel mit der Registry gesagt hast, kann es fÃŒr die Zertifizierbarkeit keine Rolle spielen, auf welcher Ebene ein FQN sich bewegt.

Michael Nausch

2015-11-24 10:03:04 UTC

Griaseichallemidananda!

verstehe ich das richtig, dass Du mit einem Zertifikat bestätigen
willst, dass die Subdomain „mwemail.dynvpn.de“ Dir gehört, obwohl die
Domain „dynvpn.de“ NICHT Dir gehört?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) überhaupt zulässig ist.

Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja,
wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem
Beispiel „mwemail.dynvpn.de“ der Domain „dynvpn.de“ dürften für Dritte
gar nicht ausgestellt werden, solange der Domaininhalber „dynvpn.de“
dazu nicht explizit zugestimmt hat.

Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich würde mir
als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich
niemals sein werde) für homebanking.postbank.de ein Zertifikat
ausstellen lassen. Über Manipulationen oder mit Hilfe von cash poisoning
gelingt es mir einen MX-Eintrag für die Subdomain
„homebanking.postbank.de“ zu komprommitieren. Was dann? Ohne TLSA und
DNSsec würden somit die Clientzugriffe eine valide TLS gesicherte
Phisingseite ohne Fehler anzeigen.

Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also würde ich das Thema "Subdomains" ohne Einverständnis des
Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in
eine solche CA ist in solchen nicht mehr gegeben und ich würde diese
asap aus dem TrustStore der Clients verbannen. DigiNotar lässt grüßen.

just my 2cents ...

Servus
Michael

Oder hab ich was falsch verstanden?
Liebe Grüsse
Rüdiger Schultz
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) läuft über eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record für meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat für das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafür eine Lösung?
Vielen Dank für Eure Hilfe.
Mit freundlichen Grüßen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

Rüdiger Schultz

2015-11-24 10:13:19 UTC

Danke Michael, das waren genau meine Gedanken (sogar Dein "Beispiel" habe ich ebenfalls durchgedacht - allerdings mit einer anderen Bank)...
Liebe Grüsse
Rüdiger

-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Michael Nausch
Gesendet: Dienstag, 24. November 2015 11:03
An: cacert-***@lists.cacert.org
Betreff: Re: Server SSL Zertifikat in Kombination mit DynDNS

Griaseichallemidananda!

Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja, wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem Beispiel „mwemail.dynvpn.de“ der Domain „dynvpn.de“ dürften für Dritte gar nicht ausgestellt werden, solange der Domaininhalber „dynvpn.de“ dazu nicht explizit zugestimmt hat.

Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich würde mir als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich niemals sein werde) für homebanking.postbank.de ein Zertifikat ausstellen lassen. Über Manipulationen oder mit Hilfe von cash poisoning gelingt es mir einen MX-Eintrag für die Subdomain „homebanking.postbank.de“ zu komprommitieren. Was dann? Ohne TLSA und DNSsec würden somit die Clientzugriffe eine valide TLS gesicherte Phisingseite ohne Fehler anzeigen.

Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also würde ich das Thema "Subdomains" ohne Einverständnis des Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in eine solche CA ist in solchen nicht mehr gegeben und ich würde diese asap aus dem TrustStore der Clients verbannen. DigiNotar lässt grüßen.

just my 2cents ...

Servus
Michael

--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

S. H.

2015-11-24 10:30:45 UTC

Sorry, aber das ist BlÃ¶dsinn. Cache poisoning ist ein ganz anderes
Thema, ist aber nicht nur ÃŒber Subdomains mÃ¶glich. Da kannste auch
gleich die ganze TLD oder an anderer Stelle fÃ€lschen. AuÃerdem ist
"Subdomain" ein Laien-Begriff. Jeder hostname ist eine Subdomain und das
lÃ€sst sich technisch ÃŒberhaupt nicht feststellen. Manche LÃ€nder geben
z.B. grundsÃ€tzlich nur Domains auf dritter ebene heraus. Und natÃŒrlich
bekommst du eine Domain eines tieferen Levels nur mit zustimmung des
Besitzers der nÃ€chsthÃ¶heren Instanz. Anders geht es doch gar nicht.

Was du hier redest ist verwirrtes Zeug. Wenn einer Admin irgendwo ist,
kann er natÃŒrlich das System dort missbrauchen. Ich bin daher ganz froh,
dass du nicht nur nicht bei der Postbank arbeitest, sondern auch keine
Trust Stores verwaltest.

Post by Michael Nausch
Griaseichallemidananda!

Post by RÃ¼diger Schultz
verstehe ich das richtig, dass Du mit einem Zertifikat bestÃ€tigen
willst, dass die Subdomain âmwemail.dynvpn.deâ Dir gehÃ¶rt, obwohl die
Domain âdynvpn.deâ NICHT Dir gehÃ¶rt?
Ich kann mir nicht vorstellen, dass das (formell oder auch nur
technisch) ÃŒberhaupt zulÃ€ssig ist.

Das spiegelt exakt das Dilemma der DV wider. Rein technisch geht das ja,
wie hier schon ausreichend diskutiert wurde. Subdomains, wie in Deinem
Beispiel âmwemail.dynvpn.deâ der Domain âdynvpn.deâ dÃŒrften fÃŒr Dritte
gar nicht ausgestellt werden, solange der Domaininhalber âdynvpn.deâ
dazu nicht explizit zugestimmt hat.
Warum? Na nehmen wir doch mal folgendes fiktives Beispiel: Ich wÃŒrde mir
als Admin bei der Postbank (was ich Gott Lob nicht bin und hoffentlich
niemals sein werde) fÃŒr homebanking.postbank.de ein Zertifikat
ausstellen lassen. Ãber Manipulationen oder mit Hilfe von cash poisoning
gelingt es mir einen MX-Eintrag fÃŒr die Subdomain
âhomebanking.postbank.deâ zu komprommitieren. Was dann? Ohne TLSA und
DNSsec wÃŒrden somit die Clientzugriffe eine valide TLS gesicherte
Phisingseite ohne Fehler anzeigen.
Tja, abermals zeigt sich das Dilemma der hirarchischen CA Strukturen.
Also wÃŒrde ich das Thema "Subdomains" ohne EinverstÃ€ndnis des
Domaininhalbers scheuen wie der Teufel das Weihwasser. Das Vertrauen in
eine solche CA ist in solchen nicht mehr gegeben und ich wÃŒrde diese
asap aus dem TrustStore der Clients verbannen. DigiNotar lÃ€sst grÃŒÃen.
just my 2cents ...
Servus
Michael

Post by RÃ¼diger Schultz
Oder hab ich was falsch verstanden?
Liebe GrÃŒsse
RÃŒdiger Schultz
*Gesendet:* Montag, 23. November 2015 15:26
*Betreff:* Server SSL Zertifikat in Kombination mit DynDNS
Hallo,
ich habe folgendes Problem.
Mein Mailserver (Mail Server auf Synology NAS) lÃ€uft ÃŒber eine
dynamische IP Adresse (Versatel). Daher habe ich einen DynDNS Eintrag
bei TwoDNS (mwemail.dynvpn.de). Dies ist auch als MX Record fÃŒr meine
Domains (mweyland.de und weitere) hinterlegt.
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.
Gibt es dafÃŒr eine LÃ¶sung?
Vielen Dank fÃŒr Eure Hilfe.
Mit freundlichen GrÃŒÃen
Markus Weyland
P.S.: das Wiki, google, etc habe ich bereits durchsucht - leider ohne Erfolg.

Michael Nausch

2015-11-24 10:51:04 UTC

Griasdegrischbal,

Sorry, aber das ist Blödsinn.

So so, ja wen Du das sagst, mag es in Deinem Umfeld ja vermutlich so sein.

Ich bleibe bei meiner Aussage: CA's in der derzeitigen Ausprägung sind
broken by design. Jeder x-beliebige kann sich Zertifikate ausstellen
lassen, wenn die CA ihren Job nicht ordendlicht macht.

Cache poisoning ist ein ganz anderes
Thema, ist aber nicht nur über Subdomains möglich.

Habe ich auch nicht anders gesagt - das war nur ein Beispiel um a eine
DV-Mail zu kommen.

Da kannste auch
gleich die ganze TLD oder an anderer Stelle fälschen.

Jetzt sind wir zusammen, klar kann man das, das Problem Diginotar hat
dies ja u.a. auch aufgezeigt.

Jeder hostname ist eine Subdomain

Oh jetzt wirds aber 100,00%ig ich hoffe Dein Alufolienabschirmhütchen
sitzt korrekt.

Was du hier redest ist verwirrtes Zeug.

Na wenn Du das sagst, dann nimm Deine Tablettchen und leg Dich wieder
brav ins Bettchen. Wenn die Jacke zum Schnüren am Rücken zu eng ist,
lass Dir helfen.

In diesem Sinne: PLONK

MfG
Michael

--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

S. H.

2015-11-24 07:14:06 UTC

Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.

Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise mÃŒsste genau das gehen. Sag deinem Mailserver, dass er
Mails unter "***@mwemail.dynvpn.de" annehmen soll, trag die dynamische
Adresse dann bei CAcert ein, und schau was passiert.

Bettina Müller

2015-11-24 07:20:34 UTC

Wie kann ich ein Server Zertifikat für das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.

Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise müsste genau das gehen. Sag deinem Mailserver, dass er
Adresse dann bei CAcert ein, und schau was passiert.

Dann muss er aber Zugriff auf die Nameserver-Einträge für dynvpn.de
haben um einen MX-Eintrag für die Subdomain mwemail anlegen zu können.

Gruß

Privacy

S. H.

2015-11-24 07:29:54 UTC

Dann muss er aber Zugriff auf die Nameserver-EintrÃ€ge fÃŒr dynvpn.de
haben um einen MX-Eintrag fÃŒr die Subdomain mwemail anlegen zu kÃ¶nnen.

Wie ich bereits sagte, ist das nicht zwingend erforderlich, oder sollte
es zumindest sein, das RFC vorsieht, im Falle eines fehlenden MX einen
Zustellversuch an den Server im A bzw. AAAA selbst zu unternehmen. Da es
sich hierbei um den Mailserver selbst handelt, mÃŒsste das klappen.

Stefan Thode

2015-11-24 07:54:28 UTC

Guten Morgen an die Runde,
zuerst einmal:
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gÃŒltig sein.
-Der Mailserver muss fÃŒr exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfÃŒllt = :-(

GruÃ
Stefan

Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.

Um mal hierauf direkt zu antworten: Hast du es versucht? Warum geht es
nicht?
Normalerweise mÃŒsste genau das gehen. Sag deinem Mailserver, dass er
Adresse dann bei CAcert ein, und schau was passiert.

Dann muss er aber Zugriff auf die Nameserver-EintrÃ€ge fÃŒr dynvpn.de
haben um einen MX-Eintrag fÃŒr die Subdomain mwemail anlegen zu kÃ¶nnen.
GruÃ
Privacy

--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org

S. H.

2015-11-24 08:03:26 UTC

Post by Stefan Thode
-Der MX Record muss gÃŒltig sein.

Das solltet ihr dann aber wirklich ÃŒberdenken. Siehe RFC 2821

Post by Stefan Thode
If no MX records are found, but an A RR is found, the A RR is treated as
if it was associated with an implicit MX RR, with a preference of 0,
pointing to that host.

Jürgen Schweizer

2015-11-24 08:15:24 UTC

Post by Stefan Thode
-Der MX Record muss gÃŒltig sein.

Das solltet ihr dann aber wirklich ÃŒberdenken. Siehe RFC 2821

Post by Stefan Thode
If no MX records are found, but an A RR is found, the A RR is treated as
if it was associated with an implicit MX RR, with a preference of 0,
pointing to that host.

Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.

lg aus Graz, JÃŒrgen

S. H.

2015-11-24 08:23:40 UTC

Post by JÃ¼rgen Schweizer
Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.

Dann reden wir hier ÃŒber ein Problem das nicht existiert. :)

Stefan Thode

2015-11-24 08:46:50 UTC

Mit funktionierender MX, habe ich den default MX, der auf dem A oder
AAAA Eintrag liegt natÃŒrlich eingeschlossen.
Meine Vermutung geht dahin, daÃ ein lokaler Konfigurationsfehler existiert.

GruÃ
Stefan

Post by JÃ¼rgen Schweizer
Es funktioniert auch ohne MX-Record. Das hab ich schon bei mehreren
Subdomains so gemacht.

Dann reden wir hier ÃŒber ein Problem das nicht existiert. :)

--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org

Werner Dworak

2015-11-24 09:04:47 UTC

Hier noch ein Standard-Text von Support. Vielleicht hilft der weiter.
Insbesondere ist zu beachten, dass es keinen dauerhaften Mailserver
geben muss. Es langt _EINMALIG_ die BestÃ€tigungs-E-Mail zu beantworten.
Und dafÃŒr sind alle Tricks erlaubt, z.B. DNS vorÃŒbergehend auf einen
bestehenden Mailserver zu verbiegen.

Viele GrÃŒÃe, Werner

Wenn Sie Ihrem Konto eine Domain zufÃŒgen wollen, mÃŒssen wir uns davon
ÃŒberzeugen, dass Sie ÃŒber diese Domain verfÃŒgen kÃ¶nnen. DafÃŒr senden wir
Ihnen eine E-Mail an eine Adresse, die zu dieser Domain gehÃ¶rt, und
erwarten von Ihnen eine Antwort darauf. Sie mÃŒssen dazu keinen regulÃ€ren
Mailserver haben. Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. DafÃŒr kÃ¶nnen Sie beliebig tricksen. Sehen
Sie dazu
http://wiki.cacert.org/FAQ/HowThePingTestWorks und
http://wiki.cacert.org/FAQ/NoDomainName.

Wenn Sie die BestÃ€tigungs-E-Mail nicht bekommen haben, schauen Sie bitte
in Ihrem System nach, wo und warum die hÃ€ngen geblieben ist. PrÃŒfen Sie
Firewalls, Malware-Scanner, Spamfilter, Greylisting und dergleichen.

Bitte schlieÃen Sie in Ihre Suche auch Ihre DNS-Konfiguration oder die
Ihres Providers fÃŒr die betreffende E-Mail-Domain ein und schauen dort
grÃŒndlich nach. Wir unterstÃŒtzen voll IPv6 und benutzen es vorzugsweise.
Das bedeutet also, wenn Sie eine unvollstÃ€ndige oder fehlerhafte
IPv6-Konfiguration haben, scheitert die Zustellung der Mail, selbst wenn
die IPv4-Konfiguration vÃ¶llig in Ordnung ist.

Michael Nausch

2015-11-25 14:55:04 UTC

Griasde Werner,

Post by Werner Dworak
Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. Dafür können Sie beliebig tricksen.

Vielen Dank für diese Information, nunmehr ist zumindest für mich klar,
wohin die Reise geht in Sachen CAcert.

Beste Grüße
Michael Nausch

--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

S. H.

2015-11-25 15:01:06 UTC

Vielen Dank fÃŒr diese Information, nunmehr ist zumindest fÃŒr mich klar,
wohin die Reise geht in Sachen CAcert.

Du spinnst doch. Ja, es ist egal, wie man "trickst", weil CAcert einen Donaininhaber bestÃ€tigt, nicht einen funktionierenden Mailserver! Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen GeschwÃ€tz.

Michael Nausch

2015-11-25 17:52:40 UTC

H4ud164ch54u,

it's popcorn hour! ROFTL

Post by S. H.
Du spinnst doch.

Echt? Also Deine Umgangston ist ja schon ein ganz besonderer, oder aber
es fehlt einfach an (Lebens)-erfahrung, egal.

Post by S. H.
Ja, es ist egal, wie man "trickst",

Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.

Post by S. H.
weil CAcert einen Donaininhaber bestätigt, nicht einen funktionierenden Mailserver!

Wäää? Ist es nicht vielleicht eher so, dass ich der CAcert bestätige,
dass ich der Domaininhaber bin? Was soll das mit einem funktionierenden
Mailserver zu tun haben?

Im Moment sieht es doch so aus, ich beschreibe das mal etwas einfacher,
dass auch Du mit Deinem "Potential" die Sache nachlesen kannst. (Falls
Du nicht weißt wo unten ist, lass' z.B. ein Buch fallen; dort wo es
aufschlägt ist unten.):

https://secure.cacert.org/account.php?id=7

In der Mitte, dass ist da zwischen oben und unten befindet sich ein
Rahmen, in dem Du eine "Domain hinzufügen" kannst. Unten drunter ist
eine Schaltfläche mit der Bezeichnung:

"Ich bin der Domain-Inhaber und bin berechtigt über die Domain zu bestimmen"

O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate für eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.

Also sei mir bitte nicht böse, aber das kann nur schief gehen und IMHO
ist das so auch nicht gewollt von CAcert, oder einer anderen ernst zu
nehmenden CA. Sorry, aber mit solchen Tricksereien disqualifiziert sich
eine CA gänzlich.

Post by S. H.
Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen Geschwätz.

Ui, jetzt wird's ja noch interessanter. Robert bist Du das? Herbert?
Auch nicht? Na gut, scheint es doch noch mehr Vollhonks zu geben als
ursprünglich gedacht. Daher nochmals meine Bitte. Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut. Oder in Kassel mischt
man was in's Trinkwasser, wer weiß das schon genau. Oder geh einfach mal
an die frische Luft, soll den Verstand wieder frei machen, achso da hast
Du ja wohl ein größeres Defizit. :/

In diesem Sinne, ich wünsche Dir all das was Du mir auch wünscht. :-P

MfG
Michael Nausch

Stefan Dorn

2015-11-25 18:01:05 UTC

KÃ¶nnt ihr euren netten Umgangston bitte direkt klÃ€ren, und die Liste
rauslassen??

DANKE!

Mit freundlichen GrÃŒÃen
Stefan Dorn

Post by Michael Nausch
H4ud164ch54u,
it's popcorn hour! ROFTL

Post by S. H.
Du spinnst doch.

Echt? Also Deine Umgangston ist ja schon ein ganz besonderer, oder aber
es fehlt einfach an (Lebens)-erfahrung, egal.

Post by S. H.
Ja, es ist egal, wie man "trickst",

Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.

Post by S. H.
weil CAcert einen Donaininhaber bestÃ€tigt, nicht einen funktionierenden Mailserver!

WÃ€Ã€Ã€? Ist es nicht vielleicht eher so, dass ich der CAcert bestÃ€tige,
dass ich der Domaininhaber bin? Was soll das mit einem funktionierenden
Mailserver zu tun haben?
Im Moment sieht es doch so aus, ich beschreibe das mal etwas einfacher,
dass auch Du mit Deinem "Potential" die Sache nachlesen kannst. (Falls
Du nicht weiÃt wo unten ist, lass' z.B. ein Buch fallen; dort wo es
https://secure.cacert.org/account.php?id=7
In der Mitte, dass ist da zwischen oben und unten befindet sich ein
Rahmen, in dem Du eine "Domain hinzufÃŒgen" kannst. Unten drunter ist
"Ich bin der Domain-Inhaber und bin berechtigt ÃŒber die Domain zu bestimmen"
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.
Also sei mir bitte nicht bÃ¶se, aber das kann nur schief gehen und IMHO
ist das so auch nicht gewollt von CAcert, oder einer anderen ernst zu
nehmenden CA. Sorry, aber mit solchen Tricksereien disqualifiziert sich
eine CA gÃ€nzlich.

Post by S. H.
Aber am besten haust du jetzt langsam mal ab, und redest was anderes schlecht mit deinem dummen GeschwÃ€tz.

Ui, jetzt wird's ja noch interessanter. Robert bist Du das? Herbert?
Auch nicht? Na gut, scheint es doch noch mehr Vollhonks zu geben als
ursprÃŒnglich gedacht. Daher nochmals meine Bitte. Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut. Oder in Kassel mischt
man was in's Trinkwasser, wer weiÃ das schon genau. Oder geh einfach mal
an die frische Luft, soll den Verstand wieder frei machen, achso da hast
Du ja wohl ein grÃ¶Ãeres Defizit. :/
In diesem Sinne, ich wÃŒnsche Dir all das was Du mir auch wÃŒnscht. :-P
MfG
Michael Nausch

S. H.

2015-11-25 18:08:40 UTC

Post by Michael Nausch
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen? Really? WOW,
Respekt, das sollte CAcert aber dann definitiv in die CCA mit aufnehmen.

Bitte was?!? :D
Es ging doch um's "tricksen" in AnfÃŒhrungszeichen um die Mail zustellen zu kÃ¶nnen, auch wenn man nicht dauerhaft MailfunktionslitÃ€t unter der Domain bereitstellen will. Wo willst du denn sonst tricksen? Darfst du gerne versuchen im Formular falsche Angaben zu machen. Du wirst es nicht schaffen, zu einer BestÃ€tigung zu kommen. Da vertrau ich CAcert voll und ganz. ;)
Ich sag ja, es ist einfach zusammenhanglos wie du argumentierst. Nur deswegen geh ich so mit dir um. Weil du hier eine OT Diskussion anfÃ€ngt und mit fadenscheinigen Argumenten versucht, die GlaubwÃŒrdigkeit von CAcert in Frage zu stellen.

S. H.

2015-11-25 18:11:31 UTC

Post by Michael Nausch
Nimm von dem Zeug,
dass Du im Moment nimmst bitte entweder mehr oder weniger, aber die
jetzige Dosis tut Dir wohl ganz und gar nicht gut.

Immerhin bringst du mich zum lachen. Wenigstens etwas. :)

Michael Nausch

2015-11-26 17:29:27 UTC

HI,

Post by S. H.
Immerhin bringst du mich zum lachen. Wenigstens etwas. :)

Na wenigstens was. ;)

ttyl
Django

Werner Dworak

2015-11-25 18:59:00 UTC

Hallo Michael Nausch,

Post by Michael Nausch
Also mal Grundlegend kann ich mal festhalten, dass tricksen rund um
Zertifikate eine der denkbar schlechtesten Optionen ist und tunlichst zu
unterlassen ist.

Der eigentliche Umgang mit Zertifikaten sollte stets ohne Trickserei
sein. Aber bei der BestÃ€tigung, dass man ÃŒber eine Domain verfÃŒgen kann,
kÃ¶nnen Provisorien oder Sonderwege sinnvoll sein, um das
Henne-Ei-Problem zu lÃ¶sen.

Post by Michael Nausch
Ist es nicht vielleicht eher so, dass ich der CAcert bestÃ€tige,
dass ich der Domaininhaber bin?

Nein.

FÃŒr ein persÃ¶nliches CAcert-Konto ist es nicht erforderlich, dass Du der
Besitzer der Domain bist. Es ist ausreichend, wenn Du in gewissem Umfang
ÃŒber die Domain verfÃŒgen kannst.

Nur fÃŒr ein Organisations-Konto ist es erforderlich, dass die
Organisation Besitzer der Domain ist (Whois-Eintrag).

Post by Michael Nausch
Was soll das mit einem funktionierenden Mailserver zu tun haben?

Nun, mit einem funktionierenden regulÃ€ren Mailserver ist es leicht, eine
an z.B. ***@meine.domain.de geschickte E-Mail zu empfangen und zu
beantworten. Aber das muss (noch) nicht vorhanden sein. Es genÃŒgt, wenn
eine BestÃ€tigungs-Mails irgendwie entgegen genommen und beantwortet wird.

Post by Michael Nausch
"Ich bin der Domain-Inhaber und bin berechtigt ÃŒber die Domain zu bestimmen"

Falsch. Da steht:

"Ich bin der Domain-Inhaber _ODER_ bin berechtigt, ÃŒber die Domain zu
bestimmen"

Wie gesagt, fÃŒr ein persÃ¶nliches CAcert-Konto ist es nicht erforderlich,
dass Du der Besitzer der Domain bist. Es ist ausreichend, wenn Du in
gewissem Umfang ÃŒber die Domain bestimmen kannst.

Post by Michael Nausch
O.K., man soll also dort tricksen und falsche Angaben machen und sich
dadurch Zertifikate fÃŒr eine x-beliebige Domain beschaffen?

NatÃŒrlich sollst und darfst Du keine falschen Angaben machen. Lediglich,
um provisorisch die BestÃ€tigungs-Mail zu empfangen und zu beantworten,
kannst Du etwas tricksen.

Wenn wir feststellen, dass Du in Deinem CAcert-Konto falsche Angaben
gemacht hast, wird Dein Konto umgehend blockiert und gegebenenfalls
zwangsweise geschlossen. Und wenn Du dadurch anderen einen Schaden
zugefÃŒgt hast, bist Du schadenersatzpflichtig.

AuÃerdem bestÃ€tigen wir in Zertifikaten nur das, was wir ÃŒberprÃŒft
haben. So kannst Du in etliche Felder keine EintrÃ€ge machen, weil wir es
nicht ÃŒberprÃŒft haben, nicht ÃŒberprÃŒfen kÃ¶nnen oder wollen. In unserer
Datenbank werden an persÃ¶nlichen Daten nur der Name und das Geburtsdatum
gespeichert, keine Adresse, keine Kontonummer und keine sonstigen Daten.
Daneben werden natÃŒrlich die zugeordneten E-Mail-Adressen, Domains,
Zertifikate und dergleichen gespeichert. aber auch da nur die
wesentlichen Daten.

Wenn Du weniger als 50 Assurance-Punkte hast, bekommst Du nur ein
namenloses Zertifikat, das lediglich besagt, dass es diese
E-Mail-Adresse oder Domain gibt.

Erst wenn Du von mindestens zwei Personen assurt bist (ÃŒber 50 Punkte)
und damit Deine persÃ¶nlichen Daten sicher festgestellt sind, kannst Du
ein namentliches Zertifikat bekommen.

Entsprechend kannst Du Daten, die eine Organisation betreffen, nur in
Dein Zertifikat aufnehmen, wenn dies Organisation assurt ist, also
sichergestellt ist, dass es diese Organisation gibt und ihre Daten stimmen.

Viele GrÃŒÃe, Werner

Michael Nausch

2015-11-26 17:28:37 UTC

Griasde Werner,

Natürlich sollst und darfst Du keine falschen Angaben machen. Lediglich,
um provisorisch die Bestätigungs-Mail zu empfangen und zu beantworten,
kannst Du etwas tricksen.

O.K., dann bin ich ja beruhigt, hatte Dich da falsch verstanden, was die
Trickserei angeht.

Wenn wir feststellen, dass Du in Deinem CAcert-Konto falsche Angaben
gemacht hast, wird Dein Konto umgehend blockiert und gegebenenfalls
zwangsweise geschlossen.

Don't panic, ich bin da sehr konservativ eingestellt, wenn es um
Zertifikate und CAs geht.

Entsprechend kannst Du Daten, die eine Organisation betreffen, nur in
Dein Zertifikat aufnehmen, wenn dies Organisation assurt ist, also
sichergestellt ist, dass es diese Organisation gibt und ihre Daten stimmen.

Tja, leider assurt CAcert mir meine non profit organisation (.org)
nicht. Welche, na die da: Nausch (ohne der tld). Schade eigentlich.

Servus
Django

Werner Dworak

2015-11-26 17:59:31 UTC

Hallo Michael,

Post by Michael Nausch
Tja, leider assurt CAcert mir meine non profit organisation (.org)
nicht. Welche, na die da: Nausch (ohne der tld). Schade eigentlich.

Um was fÃŒr eine Organisation handelt es sich?

GrundsÃ€tzlich kann jede greifbare Organisation assured werden, auch eine
Ein-Personen-Organisation oder eine Untergruppe einer Organisation. Aber
es muss irgendwie amtlich sichergestellt sein, dass es diese
Organisation gibt und wer fÃŒr diese Organisation oder Abteilung
zeichnungsberechtigt ist.

Das kann ein Eintrag sein im Handelsregister, Vereinsregister,
Gewerbeanmeldung, Innung, Kammer oder was immer. Zu den schwierigsten
Organisationen gehÃ¶ren ÃŒbrigens Schulen, um bei denen die vollstÃ€ndige
Kette der Berechtigungen zu erhalten.

Es muss ich aber immer um eine eindeutige natÃŒrliche oder juristische
Person handeln. So lÃ€sst sich in der Regel eine Gesellschaft
bÃŒrgerlichen Rechts nicht assuren.

Einzelheiten kann Dir dazu ein Organisations-Assurer sagen. Da wird in
jedem Einzelfall geprÃŒft, ob sich ein Weg finden lÃ€sst.

Viele GrÃŒÃe, Werner

Andreas Boehlk

2015-11-25 21:53:34 UTC

Hallo Michael,

mal auÃerhalb der Diskussion.
WeiÃt Du eigentlich, daÃ Du ein ungÃŒltiges Zertifikat fÃŒr die Seite
nausch.org nutzt?! Dadurch ist sie nicht vertrauenswÃŒrdig.

GruÃ aus Celle

Andreas

Post by Michael Nausch
Griasde Werner,

Post by Werner Dworak
Es langt, wenn Sie es schaffen, diese Mail einmalig zu
empfangen und zu beantworten. DafÃŒr kÃ¶nnen Sie beliebig tricksen.

Vielen Dank fÃŒr diese Information, nunmehr ist zumindest fÃŒr mich klar,
wohin die Reise geht in Sachen CAcert.
Beste GrÃŒÃe
Michael Nausch

--
Andreas Boehlk
Hermann-LÃ¶ns-StraÃe 10
29223 Celle
Tel.: 05141-2999511
Mobil: 0160-93586056
E-Post: ***@boehlk.com

Michael Nausch

2015-11-26 17:22:25 UTC

Griasde Andreas,

Weißt Du eigentlich, daß Du ein ungültiges Zertifikat für die Seite
nausch.org nutzt?! Dadurch ist sie nicht vertrauenswürdig.

Bei der Seite nausch.org war bis dato *kein* TLS geplant und
entsprechend aktiviert. Was dann bei Namebased vHOSTs passiert weissst
Du ja, Du fällst dann in den default-host. Dann passt natürlich der
vHostname nicht zum Zertifikat.

Ich hab aber extra für Dich ;) ein Zertifikat für nausch.org hinterlegt.

Servus
Django

Bettina Müller

2015-11-24 08:05:12 UTC

Post by Stefan Thode
Guten Morgen an die Runde,
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gültig sein.
-Der Mailserver muss für exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfüllt = :-(

D.h. es wäre besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann für die eigene Domain zu erstellen.

Gruß

Privacy

S. H.

2015-11-24 08:23:05 UTC

D.h. es wÃ€re besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann fÃŒr die eigene Domain zu erstellen.

Das hat er ja. Aber MX heiÃt ja nur, dass dieser Server Mails fÃŒr
Adressen unter dieser Domain annimmt. Hat aber nichts mit dem Zertifikat
fÃŒr den Mailserver zu tun. Er kann sein NAS als MX unter 1000 Domains
eintragen, das tut ÃŒberhaupt nichts zu sachen. MX heiÃt ja nur "Dieser
Server nimmt die Mails fÃŒr *@meinedomain an". Die TLS-Verbindung wird
dann aber mit dem Dyn-Server hergestellt.

Realistisch sieht es so aus, dass man das BestÃ€tigungs-System auf diese
Weise nicht umgehen kann. Und auch ein CNAME hilft hier nicht weiter, weil:

Echte Domain => CNAME auf DynDNS => MX
* Erlaubt und mÃ¶glich
* WÃŒrde aber wieder den MX-Eintrag auf der DynDNS-Erfordern
* CNAME ist ein Alias fÃŒr alle Records des Ziels und schlieÃt weitere
Records aus

Nicht erlaubt:
Echte Domain => MX auf einen CNAME-Host => Und der Zeigt wohin?
WÃŒrde also auch nichts bringen.

Bettina Müller

2015-11-24 11:41:05 UTC

Post by Bettina MÃ¼ller
D.h. es wäre besser, statt der dyndns Domain eine eigene Domain bei zB
domainfactorry zu bestellen und dort die MX auf den dyndns-Eintrag
zeigen zu lassen, das Zertifikat dann für die eigene Domain zu erstellen.

Das hat er ja. Aber MX heißt ja nur, dass dieser Server Mails für
Adressen unter dieser Domain annimmt. Hat aber nichts mit dem Zertifikat
für den Mailserver zu tun. Er kann sein NAS als MX unter 1000 Domains
eintragen, das tut überhaupt nichts zu sachen. MX heißt ja nur "Dieser
dann aber mit dem Dyn-Server hergestellt.
Realistisch sieht es so aus, dass man das Bestätigungs-System auf diese
Echte Domain => CNAME auf DynDNS => MX
* Erlaubt und möglich
* Würde aber wieder den MX-Eintrag auf der DynDNS-Erfordern

nö - als MX wird immer ein Name eingetragen d.h.

meinedomain.xy MX 10 meinservername.dyndns.xy

dann muss die Mail an meinedomain.xy gerichtet werden, wofür sich leicht
ein Zertifikat erstellen lässt.

dyndns braucht dafür KEINEN MX Eintrag

Gruß Privacy

S. H.

2015-11-24 11:50:56 UTC

dann muss die Mail an meinedomain.xy gerichtet werden, wofÃŒr sich leicht
ein Zertifikat erstellen lÃ€sst.

Was zur Folge hat, dass du ein Zerzifikat fÃŒr diese Domain hast unf nicht fÃŒr den Mailserver. ;)

S. H.

2015-11-24 11:52:35 UTC

nÃ¶ - als MX wird immer ein Name eingetragen d.h.

Ich hab nix anderes gesagt. Nur mÃŒsste der MX Record dennoch beim DynDNS-Anbieter angelegt werden, egal wie viele CNAMEs darauf verweisen.

Stefan Thode

2015-11-24 19:56:34 UTC

Hallo an die Runde,
ich habe noch 2 Dinge fÃŒr die KlÃ€rung:

1. Die Perspektive:
Bei dnydns kann man sich einen HOST registrieren unter deren Domain.
Bei CAcert registriert man diesen Host allerdings als SLD. Das kann so
nicht unterschieden werden.
Dyndns unterstÃŒtzt es insofern, daÃ die die FunktionalitÃ€t einer SLD im
DNS zulassen.
Damit kann eine SLD wie z.B. meinedomain.dyndns.xy verifiziert werden.
D.h. auch die Emailabfrage geht z.B. an ***@meinedomain.dnydns.xy
NatÃŒrlich kann dann fÃŒr diese SLD/diesen Host auch ein Zertifikat
signiert werden.
Im Zertifikat findet sich dann auch nicht die Domain dyndns.xy wieder,
sondern lediglich die SLD bzw. der Host.

2. CNAME als MX
Die Verwendung eines CNAME als Pointer fÃŒr den MX, ist lt. RFC 2181
strikt untersagt.
Im DNS Server unter Windows bekommt man auch direkt eine Fehlermeldung,
wenn man versucht so eine Definition anzulegen.
Hier ein Auszug:

RFC 2181 Clarifications to the DNS Specification July 1997
10.3. MX and NS records

The domain name used as the value of a NS resource record, or part of
the value of a MX resource record must not be an alias. Not only is
the specification clear on this point, but using an alias in either
of these positions neither works as well as might be hoped, nor well
fulfills the ambition that may have led to this approach. This
domain name must have as its value one or more address records.
Currently those will be A records, however in the future other record
types giving addressing information may be acceptable. It can also
have other RRs, but never a CNAME RR.

Searching for either NS or MX records causes "additional section
processing" in which address records associated with the value of the
record sought are appended to the answer. This helps avoid needless
extra queries that are easily anticipated when the first was made.

Additional section processing does not include CNAME records, let
alone the address records that may be associated with the canonical
name derived from the alias. Thus, if an alias is used as the value
of an NS or MX record, no address will be returned with the NS or MX
value. This can cause extra queries, and extra network burden, on
every query. It is trivial for the DNS administrator to avoid this
by resolving the alias and placing the canonical name directly in the
affected record just once when it is updated or installed. In some
particular hard cases the lack of the additional section address
records in the results of a NS lookup can cause the request to fail.

Ich weiÃ, daÃ es oft anders praktiziert wird, und ich selbst sehe CNAME
als MX auch als sehr praktisch an.
Aber technisch verdoppelt es die DNS Abfragen und ist fachlich daher als
falsch anzusehen.

GruÃ
Stefan

nÃ¶ - als MX wird immer ein Name eingetragen d.h.

Ich hab nix anderes gesagt. Nur mÃŒsste der MX Record dennoch beim DynDNS-Anbieter angelegt werden, egal wie viele CNAMEs darauf verweisen.

--
Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org

S. H.

2015-11-24 20:44:54 UTC

Post by Bernhard FrÃ¶hlich
CNAME als MX
Die Verwendung eines CNAME als Pointer fÃŒr den MX, ist lt. RFC 2181 strikt untersagt.

Ja, das ist korrekt. Man darf einen MX nicht auf einen Hostname richten, welcher ein CNAME ist. Was man aber natÃŒrlich kann, ist eine Mail an einen CNAME host schicken. Sie wird dann ÃŒber den MX der Zieldomain zugestellt.

S. H.

2015-11-24 20:51:16 UTC

Ich weiÃ, daÃ es oft anders praktiziert wird, und ich selbst sehe CNAME als MX auch als sehr praktisch an.

Ich glaube der Grund warum das nicht erlaubt ist, ist dass es eben nicht sinnvoll ist. MX ist selbst ein "name pointer", "wie auch cname". Daher macht es keinen Sinn, einen solchen auf einen CNAME zu richten, eben weil man dann das Ziel auch direkt als MX setzen kann.

Eine konfiguration wie die Folgende ist dagegen vÃ¶llig in Ordnung und auch erlaubt:
* Domain1 in CNAME Domain3
* Domain2 in CNAME Domain3
* Domain3 in MX mailserver.domain
* mailserver.domain in A 0.0.0.0

Verboten ist nur das:
* Domain1 in MX Domain2
* Domain2 in CNAME mailserver.donain

Eben weil: Nicht sinnvoll.

Bernhard Fröhlich

2015-11-24 08:59:07 UTC

Servus nochmal,

die Anfrage nach Zertifikaten fÃŒr DynDNS-Domains kommt hier regelmÃ€Ãig
durch. Insofern wÃŒrde es sich empfehlen dafÃŒr eine Seite im WiKi anzulegen.
Insbesondere nachdem offensichtlich keiner alleine alle Aspekte des
Problems ÃŒberblickt... :-)

Kann das jemand machen? Ich habe momentan leider sehr wenig Zeit, und
bis ich wieder Zeit habe habe ich's vermutlich vergessen...

MfG
Ted

Post by Stefan Thode
Guten Morgen an die Runde,
Die Verifikation von Sub-Level-Domains ist in der CAcert CA erlaubt.
Die Benutzung von Sublevel-Domains ist weder technisch noch formell
untersagt.
-Technisch muss das Portforwarding am Router stimmen.
-Der MX Record muss gÃŒltig sein.
-Der Mailserver muss fÃŒr exakt diese Sublevel-Domain Emails akzeptieren.
-Der Email Account muss existieren (Real, Alias oder Forward)
Ist nur eine Bedingung nicht erfÃŒllt = :-(
GruÃ
Stefan

Post by Markus Weyland
Wie kann ich ein Server Zertifikat fÃŒr das NAS erzeugen? Voraussetzung
ist eine bei CACert registrierte Domain, das geht aber mit
"mwemail.dynvpn.de" nicht.

Dann muss er aber Zugriff auf die Nameserver-EintrÃ€ge fÃŒr dynvpn.de
haben um einen MX-Eintrag fÃŒr die Subdomain mwemail anlegen zu kÃ¶nnen.
GruÃ
Privacy

Lesen Sie weiter auf narkive:

Nicht verwandte, aber interessante Themen

Warum sind Sitzplätze im hinteren Teil eines Flugzeugs manchmal nicht verfügbar, obwohl viele andere Sitzplätze im Flugzeug verfügbar sind?

gestartet 2019-10-03 15:43:10 UTC

Prepaid-SIM-Karte für Daten in Australien

gestartet 2012-01-09 03:49:35 UTC

Wo gibt es während der Ferienzeit ein feierfreies, wenig bis gar kein Weihnachts-Skigebiet?

gestartet 2019-10-25 04:02:04 UTC