TLSA-Checker

Vor 9 Monaten
Julian Scheffler
1 Minute

In diesem Projekt geht es darum, automatisch benachrichtigt zu werden, wenn der Zertifikatshash in einem TLSA-Eintrag nicht mehr zu dem dazugehörigen Zertifikat passt. Das kann z. B. passieren, wenn das Zertifikat über ein automatisches Verfahren wie z. B. ACME automatisch erneuert wird.

In meinem Testaufbau verwende ich einen Synology MailPlus Server und generiere über die integrierte Funktion in DSM automatische Let’s Encrypt Zertifikate. Der Hash dieses Zertifikats musste bisher manuell bei meinem DNS-Anbieter für die entsprechenden TLSA-Einträge ausgetauscht werden. Da ich als DNS-Anbieter Cloudflare verwende, habe ich zwei Versionen des TLSA-Checkers gebaut. In der Version 1 überprüft der Docker Container ein Web-Zertifikat mit den auf DNS-Ebene hinterlegten TLSA-Hashes. In der Version 2 überschreibt der Docker Container die auf DNS-Ebene hinterlegten TLSA-Zertifikats-Hashes mit dem Zertifikatshash von einem angegebenen Webserver.

Hier ist der Link zu dem GitHub-Projekt: https://github.com/J-SIT/tlsa-checker

Schreibe einen Kommentar 0

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.