česky | cymraeg | deutsch | english | español | français | nederlands | português --- noch mehr Schritt-für-Schritt-Anleitungen

Validierung der Fingerprints der Stammzertifikate mit DNSSEC

Zur Validerung der heruntergeladenen Stammzertifikate können DNSSEC-gesicherte TXT-Records in der Domain cacert.org genutzt werden.

Der Namensraum _fp.cacert.org. ist für Fingerprints unserer Stammzertifikate reserviert. Dank DNSSEC können hier authentifizierte Kopien der Fingerprints heruntergeladen werden. Die nötigen URLs für den Download sind ebenfalls hinterlegt. Für jede Generation unserer Root-Zertifikate (bisher existiert nur Generation 1 ("g1")) existiert ein Unterbaum. Verfügbare Zertifikate jeder Generation stehen als TXT-Record _certs zur Verfügung: _certs.g1._fp.cacert.org. liefert einem "root class3" Mit diesen Namen können jeweils _url (Download-Link), _md5, _sha1, _sha256 (Fingerprint in Großbuchstaben, ohne Trennzeichen) abgefragt werden.

Den Link zum Root-Zertifikat bekommt man via TXT-Record unter _url.root_X0F.g1._fp.cacert.org. und kann den zugehörigen SHA256-Fingerprint abrufen im TXT-Record unter _sha256.root_X0F.g1._fp.cacert.org.

Hier ein Beispiel für die Validierung unter Linux. Für die produktive Nutzung IST sicherstellen, dass die beiden DNS-Records vor Verwendung validiert werden. Dies kann durch die Installation eines Validating Stub Resolver erreicht werden [1, 2]. Hierbei sollten in jedem Fall auch die Hinweise zum Thema DNSSEC-Setup der jeweiligen Distribution beachtet werden. 

$ host -t TXT _url.root_X0F.g1._fp.cacert.org.
_url.root_X0F.g1._fp.cacert.org descriptive text "http://www.cacert.org/certs/root_X0F.crt"
$ host -t TXT _sha256.root_X0F.g1._fp.cacert.org.
_sha256.root_X0F.g1._fp.cacert.org descriptive text "07EDBD824A4988CFEF4215DA20D48C2B41D71529D7C900F570926F277CC230C5"
$ wget -O root_X0F.crt 'http://www.cacert.org/certs/root_X0F.crt'
$ openssl x509 -in root_X0F.crt -noout -fingerprint -sha256 | tr -d :
SHA256 Fingerprint=07EDBD824A4988CFEF4215DA20D48C2B41D71529D7C900F570926F277CC230C5

[1] [http://askubuntu.com/questions/51367/how-do-i-configure-my-caching-nameserver-to-validate-dnssec]

[2] [https://wiki.debian.org/DNSSEC]

HowToDocuments/FingerprintsViaDNSSEC/DE (last edited 2020-01-14 13:20:40 by AlesKastner)