T.b.v DANE heb ik zowel op mijn webserver als de emailserver een TLSA entry in mijn DNS tabel.
Voor de mailserver is dat:
Maar de check op internet.nl geeft aan dat er nog een DANE vervangingingsschema mist en geeft dan de volgende erg cryptische aanwijzing:
" We adviseren je om één van de twee volgende schema’s met dubbele DANE TLSA records toe te passen:
Huidige + Volgende (“3 1 1” + “3 1 1”): Publiceer twee “DANE-EE(3) SPKI(1) SHA2-256(1)” records, één voor het huidige en één voor het volgende TLS-certificaat van je mailserver.
"
Bedoelen ze dat je in één entry twee keer “3 1 1 --hash–”, met de oude en de nieuwe hash, achter elkaar zet of dat je twee keer een entry opneemt met de zelfde naam “_25._tcp.home” maar dan één met de oude en één met de nieuwe hash?
Of moet het nog anders?
Twee aparte entries, elk met de naam “_25._tcp.home” lijkt volgens de DNS editor en internet.nl te werken. Klopt dat?
Is het mogelijk om er iets als commentaar aan toe te voegen zodat je later kan zien wat de oude en de nieuwe hash is?
Het Let’s encrypt certificaat voor webserver en mailserver verandert direct zodra er een nieuwe gemaakt kan worden
Vervolgens moet je dan daaruit de SHA-256 of SH-512 halen en in de DNS tabel zetten. Bij Freedom moet dat handmatig omdat er geen API voor DNS is. Dus wat ik doe is dat ik certbot nadat die het nieuwe TLS certificaat heeft gemaakt een mail laat genereren, waarin het nieuwe SHA key staat. Die zet ik dan met de hand in de DNS tabel, als tweede TLSA.