Toon posts:

TLSA (Dane) record aanmaken

Pagina: 1
Acties:

Vraag


  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
Ben al een uur of wat bezig met en tlsa (Dane) record aan te maken, maar snap er niet zoveel van. Wil graag een 100 % score op een nieuwe mailserver config, maar red die 100% niet door een missend Dane record.

Als eerste heb ik via openssl een x.509 certificaat aangemaakt. (1 jaar geldig)
Zowel de my-cert.pem als my-key.pem als de x509-public.pem en x509-secret.pfx ( geen idee of dit goed is, maar ok)
Daarna wil ik bij TransIP waar mijn colocatie hangt een tlsa record aanmaken. Echter op de een of andere manier wil het TLSA record de hash weten van een van de bovenstaande bestanden, echter welk, en hoe kom ik aan die hash.

Bij bijvoorbeeld TransIP bevat de hash bevat 64 karakters. (Heb colocatie, dus kan me niet voorstellen dat de hash klopt, maar ok) https://www.transip.nl/kn...en-tlsa-record-instellen/

Echter wat ik ook vind is een website om een tlsa record aan te maken. https://www.huque.com/bin/gen_tlsa
Volgens deze website moet ik dan het PEM format van de X509 erin pasten ( Settings 0 0 1 (volgens TransIP))

Echter, als ik dat doe dan zegt die dat ik geen geldige key heb ingevuld en de website meld vervolgens dat die de hash niet kan maken.

Heeft wellicht iemand hier ervaring mee ? ZOek ik wel in de goeie hoek ? Ik kan helaas geen goeie tutorials vinden die uitleggen wat nou exact de juiste methode is.

Beste antwoord (via PFY op 01-03-2022 09:18)


  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 01:12

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op vrijdag 25 februari 2022 @ 00:30:
Had weer wat tijd en ben er weer in gedoken.
Cool, mooi onderwerp.
-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
Er zijn verschillende mogelijkheden:
0. het certificaat van je CA
1. je huidige certificaat
2. een niet-publieke CA
3. self signed certificaat
Jouw keuze is goed, onthoud even dat het keuze 1 is, daar kom ik zo op terug.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
terzijde, dit is niet belangrijk:
Is dat allemaal nodig? Het klinkt alsof je een kring maakt. Kijk eens goed naar het bestand waar je mee begint, dat is waarschijnlijk al in het juiste formaat. ;)
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
Correct, ook hier is weer wat te kiezen:
0. het hele certificaat, zoals jij doet
1. alleen de public key van het certificaat
Jouw keuze, 0, is prima. Onthoud weer even dat het keuze 0 is.
En vervolgens heb je de dane sha-256 hash
Om het compleet te maken, er waren nog twee andere keuzes:
0. Full
1. SHA2-256
2. SHA2-512
Onthoud weer even dat jij keuze 1 hebt gemaakt.
Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl
correct, een apart record voor iedere poort die je wil gebruiken
Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.
Dat ligt er aan, weet je die drie nummers nog die je moest onthouden? Dat waren 1 0 1. Jij hebt dus 101 nodig. 8) *O*

Nu weet je ook wanneer het 311 moet zijn:
3. self signed certificaat
1. public key
1. sha-256
d:)b
Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.
Goed bezig!

This post is warranted for the full amount you paid me for it.

Alle reacties


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 21:53
Wat voor mailserver gebruik je

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
Altn mdaemon

  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 01:47
Probeer deze tool eens om het .PEM certificaat om te zetten naar de benodigde hash.
https://www.huque.com/bin/gen_tlsa

Verder gewoon poort 443, en TCP als protocol.

📡 ADS-B / ADS-C / ACARS feeder 📻 Diamond X7000N / Uniden 125XLT / Uniden BCT15X 📸 Canon EOS R / Sigma 150-600


  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 00:32

jurroen

Security en privacy geek

Gezien de 100% score en de DANE check acht ik de kans zeer groot dat je het over internet.nl hebt. De poort moet 25 zijn, protocol TCP. Schiet daarmee de DNS records in en dan zou het moeten lukken. Zo niet help ik je graag verder.

Voordat iedereen gaat reageren over poort 25 en TLS: dat is vanwege opportunistic TLS tussen MTA’s. En waar browsers nog vrijwel geen DANE supporten (out if the box iig) is de adoptie op mailservers een stuk verder O+

  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
jurroen schreef op woensdag 26 januari 2022 @ 22:45:
Gezien de 100% score en de DANE check acht ik de kans zeer groot dat je het over internet.nl hebt. De poort moet 25 zijn, protocol TCP. Schiet daarmee de DNS records in en dan zou het moeten lukken. Zo niet help ik je graag verder.

Voordat iedereen gaat reageren over poort 25 en TLS: dat is vanwege opportunistic TLS tussen MTA’s. En waar browsers nog vrijwel geen DANE supporten (out if the box iig) is de adoptie op mailservers een stuk verder O+
Ik krijg de hele tijd unable to decode certificate. Vermoed dat mijn openssl certificaat niet helemaal goed is.

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 00:32

jurroen

Security en privacy geek

PFY schreef op donderdag 27 januari 2022 @ 00:41:
[...]


Ik krijg de hele tijd unable to decode certificate. Vermoed dat mijn openssl certificaat niet helemaal goed is.
Er zijn verschillende 'formaten' mogelijk. Wat voor een extensie heeft je certificaat? Als het een crt of pem extensie is: het is belangrijk om het eerste certificaat alleen te gebruiken, indien het er meerdere zijn. Als je de files in een text editor opent heb je waarschijnlijk iets wat begint met:

code:
1
-----BEGIN CERTIFICATE-----


Vanaf daar (inclusief die regel) kopieer je het tot en met (dus inclusief) de eerste:

code:
1
-----END CERTIFICATE-----


Indien er meerdere certificaten in zitten is het een zogenaamde bundel, meestal inclusief de certificaten van de uitgever. Je hebt hier alleen je eigen certificaat nodig.

Lukt het daarmee wel, of zijn de certificaten mogelijk in een compleet ander formaat?

  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
Had weer wat tijd en ben er weer in gedoken.

Wat ik ervan begrijp is het volgende.

-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
En vervolgens heb je de dane sha-256 hash

Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl

Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.

Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
PFY schreef op woensdag 26 januari 2022 @ 01:02:
Bij bijvoorbeeld TransIP bevat de hash bevat 64 karakters.
Zit je bij TransIP?
Merkte dat DNS records de laatste dagen gruwelijk mis gaan daar.
Heb net een klant verhuist naar OpenProvider in de hoop dat het oplost omdat grote namen zoals Gmail hem nu ziet als spammer.

Maak je niet druk, dat doet de compressor maar


  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
DJMaze schreef op zaterdag 26 februari 2022 @ 19:23:
[...]

Zit je bij TransIP?
Merkte dat lange records de laatste dagen gruwelijk mis gaan daar.
Heb net een klant verhuist naar OpenProvider in de hoop dat het oplost omdat grote namen zoals Gmail hem nu ziet als spammer.
Zit wel bij TransIP, maar met colocatie. Dus geen vps, etc.

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
@PFY ik bedoelde DNS. Heb mijn post verduidelijkt.

Maak je niet druk, dat doet de compressor maar


Acties:
  • Beste antwoord
  • +1Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 01:12

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op vrijdag 25 februari 2022 @ 00:30:
Had weer wat tijd en ben er weer in gedoken.
Cool, mooi onderwerp.
-Je moet je huidige certificaat van je mailserver moet gebruiken, dat wist ik niet.
Er zijn verschillende mogelijkheden:
0. het certificaat van je CA
1. je huidige certificaat
2. een niet-publieke CA
3. self signed certificaat
Jouw keuze is goed, onthoud even dat het keuze 1 is, daar kom ik zo op terug.
-Via Powershell kan je dan je huidige certificaat omzetten naar een pfx bestand. (export)
-Het pfx converteer je dan vervolgens naar een .txt bestand.
-Het txt bestand open je en je kopieert alles tussen begin certificate en end certificate.
-Vervolgens maak je een nieuw bestand en paste alles tussen begin certificate en end certificate en je bewaard dit als naam.crt
terzijde, dit is niet belangrijk:
Is dat allemaal nodig? Het klinkt alsof je een kring maakt. Kijk eens goed naar het bestand waar je mee begint, dat is waarschijnlijk al in het juiste formaat. ;)
-dan: openssl x509 -in naam.crt -noout -pubkey | openssl pkey -pubin -outform DER | openssl sha256
Correct, ook hier is weer wat te kiezen:
0. het hele certificaat, zoals jij doet
1. alleen de public key van het certificaat
Jouw keuze, 0, is prima. Onthoud weer even dat het keuze 0 is.
En vervolgens heb je de dane sha-256 hash
Om het compleet te maken, er waren nog twee andere keuzes:
0. Full
1. SHA2-256
2. SHA2-512
Onthoud weer even dat jij keuze 1 hebt gemaakt.
Dan maak je in dns waar je mailserver zit een tlsa record aan met het poortnummer van je mail dienst.
Maar hier loop ik enigszins vast, want ik heb bijvoorbeeld 25 en 465 en 587 en 993 en 995 open staan.
Moet ik hier dan allemaal tlsa records voor aanmaken ? Dus bijvoorbeeld: _587_tcp 5mins TLSA mail.server.nl
correct, een apart record voor iedere poort die je wil gebruiken
Ook vraag ik me af welke waardes ik moet instellen VOOR de hash. De een heeft het over 311 (huque.com) en TransIP heeft het weer over 001.
Dat ligt er aan, weet je die drie nummers nog die je moest onthouden? Dat waren 1 0 1. Jij hebt dus 101 nodig. 8) *O*

Nu weet je ook wanneer het 311 moet zijn:
3. self signed certificaat
1. public key
1. sha-256
d:)b
Anyway ik heb het idee dat ik een stuk verder ben aangezien de hash nu wel wordt berekend, echter de tests lukken nog niet.
Goed bezig!

This post is warranted for the full amount you paid me for it.


  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
Thansk Capslock, ga het vanavond nog eens even bekijken. Het zo inderdaad kunnen dat ik een circel qua decoden en encoden van het certificaat maak. Ik vind het als beveiliging van de mail best een ingewikkeld proces. Dmarc, spf en dkim zijn dan vele malen makkelijker. .

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 01:12

CAPSLOCK2000

zie teletekst pagina 888

PFY schreef op dinsdag 1 maart 2022 @ 09:21:
Thansk Capslock, ga het vanavond nog eens even bekijken. Het zo inderdaad kunnen dat ik een circel qua decoden en encoden van het certificaat maak. Ik vind het als beveiliging van de mail best een ingewikkeld proces. Dmarc, spf en dkim zijn dan vele malen makkelijker. .
Misschien helpt het om te weten dat DANE/TLSA groter is dan alleen e-mail. E-mail is toevallig het eerste gebied waar het veel wordt toegpast omdat de behoefte daar groot is, maar je kan het net zo goed gebruiken voor https, ldaps, ssh* of ieder ander protocol dat iets met certificaten doet.

Daarnaast is het mogelijk om DANE te gebruiken zonder een certififcaat bij een van de grote CA's af te nemen en dat decentraal te gebruiken.
Veel mensen halen nu een gratis SSL-certificaat bij LetsEncrypt. Dat is een mooie service maar het blijft één centrale organisatie die een nieuwe manager of eigenaar kan krijgen, failliet kan gaan, gehacked kan worden of met de politie mee moet werken. Niet dat die dingen noodzakelijk slecht zijn, maar je kan ook weer niet garanderen dat die club altijd betrouwbaar blijft.
Met DANE kun je echt onafhankelijk van CA's werken.


* voor ssh zijn er ook andere mogelijkheden zoals SSHFP maar DANE/TLSA is ook mogelijk

This post is warranted for the full amount you paid me for it.


  • PFY
  • Registratie: Mei 2008
  • Laatst online: 03-02 22:14
Kreeg van internet.nl een goede github pagina met hoe je dane records zou moeten aanmaken. Binnenkort maar eens induiken.

https://github.com/intern...d#generating-dane-records

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 00:32

jurroen

Security en privacy geek

PFY schreef op maandag 2 januari 2023 @ 13:04:
Kreeg van internet.nl een goede github pagina met hoe je dane records zou moeten aanmaken. Binnenkort maar eens induiken.

https://github.com/intern...d#generating-dane-records
Het kan zeker op deze manier, maar dat hoeft niet. Je kunt ook deze webtool gebruiken: https://www.huque.com/bin/gen_tlsa

Daar dien je het certificaat te plakken. Het certificaat zelf is geen gevoelige informatie. Dit in tegenstelling tot de bijbehorende privésleutel, die dien je nooit te delen of te uploaden.

Tip: als je voor certificate renewals dezelfde sleutel gebruikt veranderd de fingerprint - en dus het DANE record niet. Wel zo fijn om dat niet elke drie maanden te hoeven bijwerken :9
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee