Dane

From Hobbynet Admin Wiki
Revision as of 13:14, 5 April 2020 by Hans (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Doel

Een DANE record in DNS vertelt welk ssl certificaat gekoppeld is aan een hostnaam. Het is bedoeld om email verkeer te beveiligen.

Waar staat DANE voor?

SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE)

Verplicht voor overheids mailservers

STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.
Zie https://www.forumstandaardisatie.nl/standaard/starttls-en-dane

DNS

In DNS heet het 'TLSA record' en ziet er als volgt uit: 

  _443._tcp.www.hcc.nl.           IN TLSA 3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549

DANE record maken

Dat gaat heel simpel via deze site https://www.huque.com/bin/gen_tlsa
Je plakt het publieke deel van het certificaat, laat verder alles default. Je vult hostnaam, port en protocol in en klikt op generate.

gen_mx_hcc

Als het certificaat van hcc.nl wordt vervangen moet je in het gen_mx script de variable veranderen 

  $TLSAHCC = '3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549';

want elke subdomein van hcc.nl krijgt automatisch DANE record

LET op

Als een ssl certificaat vernieuwd wordt moet je dus ook een nieuw DANE (TLSA) record maken

Retrieved from "https://wiki.hobby.nl/index.php?title=Dane&oldid=78344"