Ich habe gestern neue Zertifikate deployed und freue mich seitdem über die neuen Ciphers, die man so im Log sieht:

1
2
3
4
5
    717 ECDHE-ECDSA-AES256-GCM-SHA384  TLSv1.2
      5 ECDHE-ECDSA-AES128-SHA256      TLSv1.2
      1 ECDHE-ECDSA-AES256-SHA         TLSv1.2
      1 ECDHE-ECDSA-AES256-SHA         TLSv1.1
      1 ECDHE-ECDSA-AES256-SHA         TLSv1

Neu sind dabei die ganzen ECDSA-basierten Ciphers - ich konnte mich nämlich endlich mal dazu durchringen, dehydrated so zu benutzen, dass ich parallel RSA- und ECDSA-Zertifikate bekomme. Das geht btw. so:

1
2
3
4
chronic bash -c "
  dehydrated -c -a rsa        -o /var/lib/dehydrated/certs/rsa && \
  dehydrated -c -a prime256v1 -o /var/lib/dehydrated/certs/ecdsa
"

chronic kommt übrigens aus dem moreutils-Paket und ist allgemein zu empfehlen. Der Code oben überschreibt die konfigurierten Algorithmen und erzeugt eben jeden Typ Zertifikat einmal.

Ein bisschen aufpassen sollte man wenn man DANE deployed, man muss dann natürlich mehr als einen Record für Trust Anchor Assertion-Antworten pflegen.