Let's encrypt

Start:

• DNS und Webserver bei Hetzner hingestellt.
• DNSSEC aktiviert.
• Let’s encrypt Zertifikat besorgt.
• HTTPS aktiviert.
• Diverse HTTP-Header wie HSTS aktiviert.

Fazit:

• Die Let’s encrypt Mechanismen sind momentan noch ein bisschen wie

1
curl https://bla.fasel/easy-peasy.sh | sudo bash

• Keine DNSSEC-Automatismen bei Hetzner: Nett fragen und auf Kulanz hoffen.
• Die Fritzbox hat AFAIK keinen Resolver mit DNSSEC-Support.
• Das TLSA-Addon ist nicht der Weisheit letzter Schluss.
• DNSSEC in Kombination mit AXFR-DNS-Slaves hat seine Ecken und Kanten.
• HPKP sieht tricky mit Let’s encrypt aus. Das hebe ich mir noch auf…
• TLSA und HPKP in Kombination mit dem 3-Monats Rhythmus von Let’s encrypt erfordern Skripte, die automatisiert in etliche Kernkomponenten greifen müssen.

Netzwerküberwachung:

• Haben die AXFR-DNS-Slaves den Key-Rollover mitbekommen?
• Passt der TLSA-Key zum HTTPS-Zertifikat?
• Passen die HPKP-Fingerprints zum installierten Zertifikat?