https://sarwiki.informatik.hu-berlin.de/index.php?action=history&feed=atom&title=DANE_stunnelDANE stunnel - Revision history2026-05-13T02:34:40ZRevision history for this page on the wikiMediaWiki 1.43.8https://sarwiki.informatik.hu-berlin.de/index.php?title=DANE_stunnel&diff=11768&oldid=prevRbert: Created page with "=Stunnel dane= ==Vorüberlegung== ===OpenSSL DANE support=== Derzeit keiner. Weil stunnel auf OpenSSL aufsetzt, ist die Idee, DANE basierend auf dem bestehenden OpenSSL Code b…"2015-10-08T18:00:10Z<p>Created page with "=Stunnel dane= ==Vorüberlegung== ===OpenSSL DANE support=== Derzeit keiner. Weil stunnel auf OpenSSL aufsetzt, ist die Idee, DANE basierend auf dem bestehenden OpenSSL Code b…"</p>
<p><b>New page</b></p><div>=Stunnel dane=<br />
<br />
==Vorüberlegung==<br />
<br />
===OpenSSL DANE support===<br />
<br />
Derzeit keiner.<br />
Weil stunnel auf OpenSSL aufsetzt, ist die Idee, DANE basierend<br />
auf dem bestehenden OpenSSL Code bereitzustellen.<br />
<br />
===Postfix Implementation===<br />
Postfix implementiert DANE auf Basis von OpenSSL.<br />
Also genau das, was wir auch machen möchten.<br />
Idee: Routinen aus Testsuite nach stunnel portieren.<br />
Ergebnis: Postfix copy pastet Code aus OpenSSL 1.0.1 und maintained<br />
diesen scheinbar lange genug nichtmehr, um die Tests brechen zu<br />
lassen.<br />
Nach einigen Stunden geben wir auf.<br />
<br />
===GnuTLS===<br />
GnuTLS implementiert DANE bereits und stellt die Funktionalität in der<br />
libdane bereit.<br />
Der DNSSEC Teil basiert auf libunbound, welches als Abhängigkeit<br />
bereit stehen muss.<br />
<br />
==unbound==<br />
Initial muss der DNSSEC root key von data.iana.org bezogen werden.<br />
Falls unbound installiert:<br />
unbound-anchor -a "/etc/unbound/root.key"<br />
<br />
==libdane==<br />
dane_verify_crt erwartet ein Zertifikat (bzw. Zertifikatskette wenn<br />
mit intermediate) im PEM Format.<br />
OpenSSL kann das leisten.<br />
<br />
Deshalb:<br />
stunnel hält im verification Teil (verify.c) das Zertifikat des<br />
Servers, zu dem eine Verbindung aufgebaut werden soll.<br />
Dieses wird übergenen an dane_verify_crt, welches das DANE Ergebnis<br />
zurückliefert.<br />
<br />
==Test==<br />
[https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/ DNSSEC/TLSA Validator] für Firefox <br />
<br />
danetool ist Teil von GnuTLS<br />
<br />
https://good.dane.verisignlabs.com/<br />
<br />
https://bad-params.dane.verisignlabs.com/<br />
<br />
https://bad-hash.dane.verisignlabs.com/</div>Rbert