DNS Hinweise

1. Übersicht DNSSEC und DNSKEYs

Alle Zonen werden mit DNSSEC abgesichert. Insbesondere weisen die .eu und .li-Zonen eine doppelte Signatur auf, wobei jeweils zwei unterschiedliche DNSKEYs verwendet werden:

• coresecret.dev
• coresecret.eu
• e2ee.li
• ed448.eu
• eddns.de
• eddns.eu

Diese Konfiguration gewährleistet eine erhöhte Sicherheit und Kompatibilität der Domains.

2. CAA Resource Records

Die CAA Resource Records wurden gemäß den RFC8657 und RFC8659 konfiguriert, um sicherzustellen, dass Zertifikate ausschließlich von autorisierten Zertifizierungsstellen ausgestellt werden können. Die aktuelle CAA-Konfiguration lautet:

@					IN CAA		0 iodef "mailto:dns@coresecret.eu"
@					IN CAA		0 issue ";"
@					IN CAA		0 issue "buypass.no"
@					IN CAA		0 issue "certum.pl"
@					IN CAA		0 issue "letsencrypt.org; validationmethods=dns-01,http-01,tls-alpn-01"
@					IN CAA		0 issue "quantumsign.eu; accounturi=https://acme.quantumsign.eu/acct/superman; validationmethods=dns-01,http-01,tls-alpn-01,tkauth-01,email-reply-00"
@					IN CAA		0 issue "sectigo.com"
@					IN CAA		0 issuemail "buypass.no"
@					IN CAA		0 issuemail "certum.pl"
@					IN CAA		0 issuewild ";"

@					IN CAA		0 iodef "mailto:dns@coresecret.eu"
@					IN CAA		0 issue ";"
@					IN CAA		0 issue "buypass.no"
@					IN CAA		0 issue "certum.pl"
@					IN CAA		0 issue "letsencrypt.org; validationmethods=dns-01,http-01,tls-alpn-01"
@					IN CAA		0 issue "quantumsign.eu; accounturi=https://acme.quantumsign.eu/acct/superman; validationmethods=dns-01,http-01,tls-alpn-01,tkauth-01,email-reply-00"
@					IN CAA		0 issue "sectigo.com"
@					IN CAA		0 issuemail "buypass.no"
@					IN CAA		0 issuemail "certum.pl"
@					IN CAA		0 issuewild ";"

Diese Einträge tragen dazu bei, Missbrauch zu verhindern und gewährleisten, dass nur definierte Stellen Zertifikate ausstellen dürfen.

3. TLSA Resource Records und Zertifikatsmanagement

Für die TLSA-Records werden grundsätzlich die Kombinationen 2 1 1 und 2 1 2 verwendet. Dies bezieht sich speziell auf:

ZeroSSL ECC Domain Secure Site CA, O = ZeroSSL, C = AT

_443._tcp				IN TLSA		2 1 1 ddf2cb5634485a70aa0ea2044d4d8e72730fec4ce637f67743f8d0f1c21a0287
_443._tcp				IN TLSA		2 1 2 970b1c358f0115449fb0f928c40b63971d4a228081cafef788d56eedb0c3263f0d428c52ff69b9022363f6d6185de64f22037af613ce44ba0389fda871d66f01

_443._tcp				IN TLSA		2 1 1 ddf2cb5634485a70aa0ea2044d4d8e72730fec4ce637f67743f8d0f1c21a0287
_443._tcp				IN TLSA		2 1 2 970b1c358f0115449fb0f928c40b63971d4a228081cafef788d56eedb0c3263f0d428c52ff69b9022363f6d6185de64f22037af613ce44ba0389fda871d66f01

CN = ZeroSSL RSA Domain Secure Site CA, O = ZeroSSL, C = AT

_443._tcp				IN TLSA		2 1 1 47785c30e006c34585cedb86dac913a1da07a7c20689ddd083adc29fb6146283
_443._tcp				IN TLSA		2 1 2 4164b40a5eb4327881033ec6bc99c9824405c06d45386e2c8fbd2839761d9c2a9c31e57bf4fb18308f888c4a73fde48d2eb037170509a67d3ca95555e19508f5

_443._tcp				IN TLSA		2 1 1 47785c30e006c34585cedb86dac913a1da07a7c20689ddd083adc29fb6146283
_443._tcp				IN TLSA		2 1 2 4164b40a5eb4327881033ec6bc99c9824405c06d45386e2c8fbd2839761d9c2a9c31e57bf4fb18308f888c4a73fde48d2eb037170509a67d3ca95555e19508f5

Zusätzlich sind alle Services, die über SMTPS und / oder HTTPS erreichbar sind, mit den Kombinationen

• 3 1 1
• 3 1 2

zum jeweils aktuellen Zertifikat in den entsprechenden Zonen hinterlegt.

4. Automatisiertes Zertifikats- und DNS-Management

Die Ausstellung der Zertifikate, die Erstellung der TLSA-RRs sowie deren Eintragung in die DNS-Zonen erfolgen vollständig automatisiert. Dieser Prozess wird über einen zentralen ACME-Server realisiert, der von außen nicht erreichbar ist. Dies stellt sicher, dass:

• Zertifikatausstellung: Zertifikate werden automatisiert ausgestellt.
• TLSA-Erstellung: Die entsprechenden TLSA-RRs werden stets aktuell gehalten.
• DNS-Zoneneintrag: Änderungen werden automatisch in die DNS-Zone übernommen.

Ergänzend betreibe ich einen eigenen certspotter.eu Dienst, der alle unter meiner Autorität stehenden Domains auf die Ausstellung von Zertifikaten überwacht. Für diesen Zweck nutze ich das Repository von SSLMate unter https://github.com/SSLMate/certspotter.

5. Zusätzliche RR-Einträge

Neben den HTTPS-Records werden auch weitere Services angeboten:

• OPENPGP: Zum Austausch von OpenPGP-Schlüsseln.
• SMIMEA: Für die sichere Zustellung von S/MIME-Zertifikaten.

Diese zusätzlichen Einträge unterstützen eine umfassende Sicherung und Authentifizierung der Kommunikationswege.

6. Eigene Zertifizierungsstelle

Die eigene CA quantumsign.eu befindet sich im Aufbau. Diese basiert auf ejbca und wird künftig als weitere Zertifizierungsstelle zur Absicherung und Verwaltung von Zertifikaten dienen.

Zusammenfassung

• DNSSEC: Alle Zonen sind gesichert, insbesondere die .eu-Domains werden doppelt signiert.
• DNSKEYs: Es kommen unterschiedliche Schlüsselpaare mit variierenden Algorithmen und Bitlängen zum Einsatz.
• CAA-RRs: Strenge Richtlinien zur Zertifikatsausstellung gemäß RFC 8657 und RFC 8659.
• TLSA-RRs: Konfiguration für den Buypass Class 2 CA 5, inklusive dynamischer Aktualisierung.
• Automatisierung: Zertifikate, TLSA-RRs und DNS-Zoneneinträge werden automatisiert über einen internen ACME-Server verwaltet.
• Überwachung: Mit dem eigenen certspotter.eu Dienst erfolgt eine kontinuierliche Überwachung der Zertifikatsausstellung aller Domains unter meiner Autorität.
• Zusätzliche Services: Unterstützung von OPENPGP und SMIMEA.
• Eigene CA: Der Aufbau der CA quantumsign.eu basiert auf ejbca und befindet sich im Aufbau.

Weitere Informationen entnehmen Sie bitte den IANA DNS Parameters.