Nachdem ich gefragt wurde: Ich habe das neulich erwähnte Script jetzt auf github gestellt. Viel Spaß :-)
TLSA-Records in Ruby, online
Wie viele andere verwende ich für private Seiten Let’s Encrypt, um SSL-Zertifikate zu beziehen. Gleichzeitig publiziere ich im DNS sog. TLSA-Records, um zusätzlich die Sicherheit zu erhöhen. Wenn jetzt ein automatisches Update der Zertifikate statt findet, dann ändert sich ja zumindest mal der Record vom Typ 3 1 1 (End Entity, Public Key, SHA-256). Der Eintrag vom Typ 2 1 1 (Trust Anchor, i.e. CA, Public Key, SHA-256) bliebt wahrscheinlich gleich.
[Mehr]