TLSA-Records in Ruby, online

Wie viele andere verwende ich für private Seiten Let’s Encrypt, um SSL-Zertifikate zu beziehen. Gleichzeitig publiziere ich im DNS sog. TLSA-Records, um zusätzlich die Sicherheit zu erhöhen. Wenn jetzt ein automatisches Update der Zertifikate statt findet, dann ändert sich ja zumindest mal der Record vom Typ 3 1 1 (End Entity, Public Key, SHA-256). Der Eintrag vom Typ 2 1 1 (Trust Anchor, i.e. CA, Public Key, SHA-256) bliebt wahrscheinlich gleich. [Mehr]

Mehr Crypto: DANE TLSA, SSHFP

Was könnte man eigentlich noch machen, wenn man dem eigenen DNS etwas mehr Sicherheit verpasst hat? Na ja, eine Idee wäre z.B., im DNS bestimmte Aussagen über den sonstigen Einsatz von Kryptographe zu treffen. Dabei gibt es zwei Dinge, die mir sinnvoll erscheinen: Zum einen SSHFP-Records, mit denen man den Host-Key eines SSH-Servers im DNS verewigen kann, und zum anderen DANE TLSA, mit dem man selbiges etwas universeller tun kann. [Mehr]