Cryptomgr für Letsencrypt, DKIM und TLSA (DANE) [GELÖST]

[pummelbaer]

Hallo,

da ich mir die Tage etwas die Karten gelegt hatte bei DKIM, bin ich über ein kleines Projekt gestolpert welches ich sehr interessant fand.
Und zwar wurde ein Lösungsansatz zum "Cryptomgr" für die Automatisierung zur Erstellung von Letsencrypt Zertifikaten, DKIM und TLS (DANE) entworfen.
Vielleicht ließe der sich ja nach KeyHelp übernehmen.
Ich finde es ist ne gute Idee, die sich aufgreifen ließe...

Link zum Projekt: https://entroserv.de/de/projekte/offene ... fentlichen

Grüße
Pummelbär

[stfn116]

sehr interessantes Projekt, zwei Fragen bzw. Anmerkungen habe ich dazu:

Würde das auch funktionieren, wenn die DNS-Einträge bei einem externen Anbieter gepflegt würden? oder ist dann schon wieder Ende
einen Großteil der Funktionen gibt es ja bei Keyhelp auch schon, abgesehen von TLSA bzw. DANE funktioniert ja schon die überwiegende Anzahl an Diensten.

Des Weiteren müsste doch dann auch DNSSEC implementiert werden, wenn ich es richtig verstanden habe - oder?

[pummelbaer]

@stfn

Also wenn ich das richtig verstanden habe ließe sich TLSA über eine API an einen DNS Sever übertragen.
Wobei es im wesentlichen irrelevant wäre...
Du kannst sicherlich deinen Primären DNS gegen deinen den du an Bord deines Serverhast austauschen.
Aslo das deine DNS vom Server als primärer DNS fungiert.
Alles andere regelt sich ja denn von selbst.

DNSEC wär noch manuell einzurichten...

[nikko]

Der primäre DNS setzt 2 IPs voraus, das hat nicht jeder. Aber soll Alex dazu mal n Kommentar hinterlassen, er hat bestimmt jetzt schon graue Haare. Ich weiß auch nicht, ob das nun so Oberprio oder nice-to-have ist.

[pummelbaer]

@nikko

Also ich würde das weniger als Nice to have sehen, wohl aber eher verpflichtend auf Grund der DSGVO.
Und den Verordnungen der EU....
Zumal letztenendes wären manuelle Eingriffe in der Konfiguration, welche sonst bei einem nächsten Update überschrieben werden würden.
Ich denke diese Funktionen wären jedenfalls mehr als Sinnvoll und nützlich.

[Martin]

Hallo,

Let's Encrypt und DKIM werden von KeyHelp doch bereits Out of the Box unterstützt?

[nikko]

TLS ist vorhanden, ebenso MX, SPF, Lets Encrypt, DKIM. Und ob Alex DNSSEC auf der ToDo hat, weiß ich nicht. Ein MustHave sehe ich als DSB lt. DSGVO nicht.

[pummelbaer]

Also ich glaube das looft gerade nen bischen aus dem Ruder...
DKIM und Letsencrypt ist ja schon in Keyhelp, klar weiss ich selbst.
Es war mir nur aufgefallen das Projekt, weil ich ich gerade über DANE und DNSSEC brüte...

Es sollte nur ne gedankliche Anregung dafür sein um eventuell Letsencrypt, TLSA/DANE, DNSSEC und DKIM als Gesamtpaket zusammen zu führen.
Was ja auch Sinn machen würde...
War ja nicht böse gemeint...

Auf Grund der DSGVO wäre das schon interessant, lies dir mal die Rchtlinien genauer durch...
Und da ich kein Jurist bin, würde ich mir auch den Schuh nicht anziehen wollen.
Ich meine ich bau DANE und DNSSEC so oder so manuell ein...
Weils nach meiner Auffassung handwerklich wie auch fachlich richtig wäre.
Es ist wie in der Politik, jeder macht was er für sich richtig hält... *ich hoffe ich bin jetzt niemanden zu nahegetreten*

[Tobi]

Es sollte nur ne gedankliche Anrgung dafür sein um eventuell Letsencrypt, TLSA/DANE, DNSSEC und DKIM als gesamtpaket zusammen zu führen.

Tja in KeyHelp läuft noch viel mehr zusammen.
Da stellt sich schon die Frage ob es sinnvoll ist ein externes Projekt welches ohnehin schon zu 50% integriert ist, oben drauf zu setzen.
Ich tendiere eher zu einem NEIN.

Interessieren würde mich aber wo du aus der DSGVO entnehmen kannst, dass man TLSA/DANE und DNSSEC braucht um eine DSGVO konforme Webseite zu betreiben.
Für SSL Zertifikate ist das meines Erachtens nach richtig, der Rest ist aber allerhöchstens optional.

[pummelbaer]

SSL und TLS macht auch nur so lange Sinn wie es nicht angreifbar ist.
Ohne ohne optionale Zusatzfunktionen wie aktuelle Ciphersuiten, Securityhaeder, etc. macht das SSL / TLS auch nicht wirklich Sinn und die Daten oder Dokumente sind nicht wirklich sicher (Wenn ich so manche Shopbetreiber, Anwaltswebseiten, Anwaltskammern oder Stadtverwaltungen sehe, stellen sich mir eh die Nackenhaare hoch).

Und genauso sehe ich das für den E-Mailtransport / die Spamabwehr

[stfn116]

Es sollte nur ne gedankliche Anregung dafür sein um eventuell Letsencrypt, TLSA/DANE, DNSSEC und DKIM als Gesamtpaket zusammen zu führen.
Was ja auch Sinn machen würde...
War ja nicht böse gemeint...

ich glaube niemand wollte deine Idee schlechtreden.

aber a) solange das Verständnis von über 90% der Menschen nicht für diese Technologie bzw. die Notwendigkeit derer da ist

und b) auch andere OOTB Systeme diese Services nicht bieten

ist der Handlungsspielraum wohl noch nicht gegeben.

Also kurz gesagt, ich finde die Idee, bzw. die Implementierung über Einträge im DNS (egal ob intern oder extern) super - aber du bzw. das von dir vorgestellte Projekt ist wohl d/seiner Zeit voraus.

Ciphersuiten bzw. die verwendeten kann man ja bereits heute z.B. beim FTP oder MX durch die Konfigurationsdateien z.B !SSLv3 ausschließen.

Das gleiche gilt für Security-Token wie U2F oder die neuen FIDO2-Sticks - gute Idee, aber die breite Masse sieht den Nutzen noch nicht.

[pummelbaer]

Jop, die breite Masse bestätigt leider in der Regel die Dummheit...
Erst heute wurde wieder veröffentlicht, dass gegenüber 2015 der Datenklau bis heute um 24% angestiegen ist.

Ich für meinen Teil bin gerne um Jahre voraus wenn es ums Thema Sicherheit geht.
Wobei ich sagen würde, dass ich vielleich noch in dem einen oder anderen Punkt etwas nachhänge...
Also ein Genie bin ich deshalb noch lange nicht....

Schade eigentlich, dass man erst auf die Masse warten muss damit sowas salonfähig wirdt...
Aber, es hat auch Vorteile...
Man hält somit seine grauen Zellen jung