Als ik mijn webserver test op mijn thuisverbinding lijkt het er op dat Freedom IPv6 niet helemaal aan heeft staan volgens de test bij internet.nl:
terwijl voor mijn webserver alles wel goed staat:
Wat kan hier aan gedaan worden?
Vreemd, nog een keer de test gedraaid, nu gaat het wel goed:
100% score 
Nu nog één blauwe schildje zien weg te werken:
- DANE aanwezigheid
Ook DANE is gelukt!
In DNS settings het volgende opgenomen (op basis van Let’s Encrypt Certificaat)
_443._tcp.home TLSA 3 1 1 —hash —
De --hash— gegenereerd met, maar dan example.com natuurlijk in de juiste gegevens veranderd:
cat <<EOF
_443._tcp.home TLSA 3 1 1 $(openssl x509 -in /etc/letsencrypt/live/home.example.com/cert.pem -noout -pubkey |
openssl pkey -pubin -outform DER |
openssl dgst -sha256 -binary |
hexdump -ve '/1 "%02x"')
EOF
Voordat je dat command geeft eerst even ‘sudo -s’ en na dat commando afsluiten met exit.
Ben alleen bang dat ik dat elke 3 maanden moet wijzigen omdat het certificaat van Let’s Encrypt om de 3 maanden vernieuwd moet worden.
1 like
Je hoeft je TLSA DNS record alleen te vervangen als je de private key van je certificaat vervangt en bij normaal letsencrypt gebruik, gebeurt dat niet zomaar.
Als ik kijk hoe de hash gegenereerd wordt dan lijkt het inderdaad om de public key te gaan die daarvoor gebruikt wordt.
Mocht het nodig zijn, kan ik dan via een scriptje / API de DNS record bij Freedom aanpassen?
Daar is in het verleden wel op gehint, dat DNS via een API aanpasbaar zou kunnen worden. De DNS straat zou er wel voor ontworpen zijn.