TLSA/DANE: Prinzipielles

Do Jun 28 15:26:34 CEST 2018

Liebe Mitadmins!

Ich würde gerne einmal ein prinzipielles Thema bezüglich TLSA/DANE
ansprechen.

Für das Zertifikat, das der SMTP-Daemon vorzeigt, kann ich ja einen
TLSA-RR generieren und in das DNS tun. Der Client kann somit prüfen,
ob das mit dem Zertifikat so stimmig ist. Soweit sogut.

Was, wenn der smtpd ein RSA und ein ECDSA-Zertifikat hat? Zwei
TLSA-RRs?

Der SMTP Client kann ja auch ein (oder zwei) Zertifikate vorzeigen.
Sollen/können für diese auch TLSA-RRs gemacht werden? Kann der smtpd
auf der Gegenseite damit umgehen?

Das würde also bedeuten, dass für einen MX Record 4 Stück TLSA-RRs
erzeugt werden (RSA/ECDSA + Client/Server).

Sind meine Gedankengänge soweit korrekt?

mfg Friedemann