Toon posts:

TLSA (Dane) record aanmaken

Pagina: 1
Acties:

Vraag

woensdag 26 januari 2022 01:02

Acties:
  • 0 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
Ben al een uur of wat bezig met en tlsa (Dane) record aan te maken, maar snap er niet zoveel van. Wil graag een 100 % score op een nieuwe mailserver config, maar red die 100% niet door een missend Dane record.

Als eerste heb ik via openssl een x.509 certificaat aangemaakt. (1 jaar geldig)
Zowel de my-cert.pem als my-key.pem als de x509-public.pem en x509-secret.pfx ( geen idee of dit goed is, maar ok)
Daarna wil ik bij TransIP waar mijn colocatie hangt een tlsa record aanmaken. Echter op de een of andere manier wil het TLSA record de hash weten van een van de bovenstaande bestanden, echter welk, en hoe kom ik aan die hash.

Bij bijvoorbeeld TransIP bevat de hash bevat 64 karakters. (Heb colocatie, dus kan me niet voorstellen dat de hash klopt, maar ok) https://www.transip.nl/kn...en-tlsa-record-instellen/

Echter wat ik ook vind is een website om een tlsa record aan te maken. https://www.huque.com/bin/gen_tlsa
Volgens deze website moet ik dan het PEM format van de X509 erin pasten ( Settings 0 0 1 (volgens TransIP))

Echter, als ik dat doe dan zegt die dat ik geen geldige key heb ingevuld en de website meld vervolgens dat die de hash niet kan maken.

Heeft wellicht iemand hier ervaring mee ? ZOek ik wel in de goeie hoek ? Ik kan helaas geen goeie tutorials vinden die uitleggen wat nou exact de juiste methode is.

Beste antwoord (via PFY op 01-03-2022 09:18)

dinsdag 1 maart 2022 01:50

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 20:01

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op vrijdag 25 februari 2022 @ 00:30:
Had weer wat tijd en ben er weer in gedoken.
Cool, mooi onderwerp.
-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
Er zijn verschillende mogelijkheden:
0. het certificaat van je CA
1. je huidige certificaat
2. een niet-publieke CA
3. self signed certificaat
Jouw keuze is goed, onthoud even dat het keuze 1 is, daar kom ik zo op terug.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
terzijde, dit is niet belangrijk:
Is dat allemaal nodig? Het klinkt alsof je een kring maakt. Kijk eens goed naar het bestand waar je mee begint, dat is waarschijnlijk al in het juiste formaat. ;)
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
Correct, ook hier is weer wat te kiezen:
0. het hele certificaat, zoals jij doet
1. alleen de public key van het certificaat
Jouw keuze, 0, is prima. Onthoud weer even dat het keuze 0 is.
En vervolgens heb je de dane sha-256 hash
Om het compleet te maken, er waren nog twee andere keuzes:
0. Full
1. SHA2-256
2. SHA2-512
Onthoud weer even dat jij keuze 1 hebt gemaakt.
Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl
correct, een apart record voor iedere poort die je wil gebruiken
Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.
Dat ligt er aan, weet je die drie nummers nog die je moest onthouden? Dat waren 1 0 1. Jij hebt dus 101 nodig. 8) *O*

Nu weet je ook wanneer het 311 moet zijn:
3. self signed certificaat
1. public key
1. sha-256
d:)b
Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.
Goed bezig!

This post is warranted for the full amount you paid me for it.

Alle reacties

woensdag 26 januari 2022 06:46

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:33

HKLM_

Wat voor mailserver gebruik je

Cloud ☁️

woensdag 26 januari 2022 07:31

Acties:
  • 0 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
HKLM_ schreef op woensdag 26 januari 2022 @ 06:46:
Wat voor mailserver gebruik je
Altn mdaemon

woensdag 26 januari 2022 09:32

Acties:
  • 0 Henk 'm!
  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 12:51

Ruben279

Probeer deze tool eens om het .PEM certificaat om te zetten naar de benodigde hash.
https://www.huque.com/bin/gen_tlsa

Verder gewoon poort 443, en TCP als protocol.

woensdag 26 januari 2022 22:45

Acties:
  • +1 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 08:59

jurroen

Security en privacy geek

Gezien de 100% score en de DANE check acht ik de kans zeer groot dat je het over internet.nl hebt. De poort moet 25 zijn, protocol TCP. Schiet daarmee de DNS records in en dan zou het moeten lukken. Zo niet help ik je graag verder.

Voordat iedereen gaat reageren over poort 25 en TLS: dat is vanwege opportunistic TLS tussen MTA’s. En waar browsers nog vrijwel geen DANE supporten (out if the box iig) is de adoptie op mailservers een stuk verder O+

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 27 januari 2022 00:41

Acties:
  • 0 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
jurroen schreef op woensdag 26 januari 2022 @ 22:45:
Gezien de 100% score en de DANE check acht ik de kans zeer groot dat je het over internet.nl hebt. De poort moet 25 zijn, protocol TCP. Schiet daarmee de DNS records in en dan zou het moeten lukken. Zo niet help ik je graag verder.

Voordat iedereen gaat reageren over poort 25 en TLS: dat is vanwege opportunistic TLS tussen MTA’s. En waar browsers nog vrijwel geen DANE supporten (out if the box iig) is de adoptie op mailservers een stuk verder O+
Ik krijg de hele tijd unable to decode certificate. Vermoed dat mijn openssl certificaat niet helemaal goed is.

donderdag 27 januari 2022 22:29

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 08:59

jurroen

Security en privacy geek

PFY schreef op donderdag 27 januari 2022 @ 00:41:
[...]


Ik krijg de hele tijd unable to decode certificate. Vermoed dat mijn openssl certificaat niet helemaal goed is.
Er zijn verschillende 'formaten' mogelijk. Wat voor een extensie heeft je certificaat? Als het een crt of pem extensie is: het is belangrijk om het eerste certificaat alleen te gebruiken, indien het er meerdere zijn. Als je de files in een text editor opent heb je waarschijnlijk iets wat begint met:

code:
1

-----BEGIN CERTIFICATE-----


Vanaf daar (inclusief die regel) kopieer je het tot en met (dus inclusief) de eerste:

code:
1

-----END CERTIFICATE-----


Indien er meerdere certificaten in zitten is het een zogenaamde bundel, meestal inclusief de certificaten van de uitgever. Je hebt hier alleen je eigen certificaat nodig.

Lukt het daarmee wel, of zijn de certificaten mogelijk in een compleet ander formaat?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 25 februari 2022 00:30

Acties:
  • +1 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
Had weer wat tijd en ben er weer in gedoken.

Wat ik ervan begrijp is het volgende.

-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
En vervolgens heb je de dane sha-256 hash

Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl

Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.

Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.

zaterdag 26 februari 2022 19:23

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

PFY schreef op woensdag 26 januari 2022 @ 01:02:
Bij bijvoorbeeld TransIP bevat de hash bevat 64 karakters.
Zit je bij TransIP?
Merkte dat DNS records de laatste dagen gruwelijk mis gaan daar.
Heb net een klant verhuist naar OpenProvider in de hoop dat het oplost omdat grote namen zoals Gmail hem nu ziet als spammer.

Maak je niet druk, dat doet de compressor maar

zondag 27 februari 2022 09:49

Acties:
  • 0 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
DJMaze schreef op zaterdag 26 februari 2022 @ 19:23:
[...]

Zit je bij TransIP?
Merkte dat lange records de laatste dagen gruwelijk mis gaan daar.
Heb net een klant verhuist naar OpenProvider in de hoop dat het oplost omdat grote namen zoals Gmail hem nu ziet als spammer.
Zit wel bij TransIP, maar met colocatie. Dus geen vps, etc.

zondag 27 februari 2022 16:26

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

@PFY ik bedoelde DNS. Heb mijn post verduidelijkt.

Maak je niet druk, dat doet de compressor maar

dinsdag 1 maart 2022 01:50

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 20:01

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op vrijdag 25 februari 2022 @ 00:30:
Had weer wat tijd en ben er weer in gedoken.
Cool, mooi onderwerp.
-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
Er zijn verschillende mogelijkheden:
0. het certificaat van je CA
1. je huidige certificaat
2. een niet-publieke CA
3. self signed certificaat
Jouw keuze is goed, onthoud even dat het keuze 1 is, daar kom ik zo op terug.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
terzijde, dit is niet belangrijk:
Is dat allemaal nodig? Het klinkt alsof je een kring maakt. Kijk eens goed naar het bestand waar je mee begint, dat is waarschijnlijk al in het juiste formaat. ;)
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
Correct, ook hier is weer wat te kiezen:
0. het hele certificaat, zoals jij doet
1. alleen de public key van het certificaat
Jouw keuze, 0, is prima. Onthoud weer even dat het keuze 0 is.
En vervolgens heb je de dane sha-256 hash
Om het compleet te maken, er waren nog twee andere keuzes:
0. Full
1. SHA2-256
2. SHA2-512
Onthoud weer even dat jij keuze 1 hebt gemaakt.
Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl
correct, een apart record voor iedere poort die je wil gebruiken
Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.
Dat ligt er aan, weet je die drie nummers nog die je moest onthouden? Dat waren 1 0 1. Jij hebt dus 101 nodig. 8) *O*

Nu weet je ook wanneer het 311 moet zijn:
3. self signed certificaat
1. public key
1. sha-256
d:)b
Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.
Goed bezig!

This post is warranted for the full amount you paid me for it.

dinsdag 1 maart 2022 09:21

Acties:
  • 0 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
Thansk Capslock, ga het vanavond nog eens even bekijken. Het zo inderdaad kunnen dat ik een circel qua decoden en encoden van het certificaat maak. Ik vind het als beveiliging van de mail best een ingewikkeld proces. Dmarc, spf en dkim zijn dan vele malen makkelijker. .

dinsdag 1 maart 2022 11:21

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 20:01

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op dinsdag 1 maart 2022 @ 09:21:
Thansk Capslock, ga het vanavond nog eens even bekijken. Het zo inderdaad kunnen dat ik een circel qua decoden en encoden van het certificaat maak. Ik vind het als beveiliging van de mail best een ingewikkeld proces. Dmarc, spf en dkim zijn dan vele malen makkelijker. .
Misschien helpt het om te weten dat DANE/TLSA groter is dan alleen e-mail. E-mail is toevallig het eerste gebied waar het veel wordt toegpast omdat de behoefte daar groot is, maar je kan het net zo goed gebruiken voor https, ldaps, ssh* of ieder ander protocol dat iets met certificaten doet.

Daarnaast is het mogelijk om DANE te gebruiken zonder een certififcaat bij een van de grote CA's af te nemen en dat decentraal te gebruiken.
Veel mensen halen nu een gratis SSL-certificaat bij LetsEncrypt. Dat is een mooie service maar het blijft één centrale organisatie die een nieuwe manager of eigenaar kan krijgen, failliet kan gaan, gehacked kan worden of met de politie mee moet werken. Niet dat die dingen noodzakelijk slecht zijn, maar je kan ook weer niet garanderen dat die club altijd betrouwbaar blijft.
Met DANE kun je echt onafhankelijk van CA's werken.


* voor ssh zijn er ook andere mogelijkheden zoals SSHFP maar DANE/TLSA is ook mogelijk

This post is warranted for the full amount you paid me for it.

maandag 2 januari 2023 13:04

Acties:
  • +1 Henk 'm!
  • PFY
  • Registratie: Mei 2008
  • Laatst online: 18-08-2024

PFY

Topicstarter
Kreeg van internet.nl een goede github pagina met hoe je dane records zou moeten aanmaken. Binnenkort maar eens induiken.

https://github.com/intern...d#generating-dane-records

woensdag 4 januari 2023 01:05

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 08:59

jurroen

Security en privacy geek

PFY schreef op maandag 2 januari 2023 @ 13:04:
Kreeg van internet.nl een goede github pagina met hoe je dane records zou moeten aanmaken. Binnenkort maar eens induiken.

https://github.com/intern...d#generating-dane-records
Het kan zeker op deze manier, maar dat hoeft niet. Je kunt ook deze webtool gebruiken: https://www.huque.com/bin/gen_tlsa

Daar dien je het certificaat te plakken. Het certificaat zelf is geen gevoelige informatie. Dit in tegenstelling tot de bijbehorende privésleutel, die dien je nooit te delen of te uploaden.

Tip: als je voor certificate renewals dezelfde sleutel gebruikt veranderd de fingerprint - en dus het DANE record niet. Wel zo fijn om dat niet elke drie maanden te hoeven bijwerken :9

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq