Segelschiff auf dem Mittelmeer (Kopfgrafik)/grafiken/tux-md-347-260.png

Let's Encrypt-Zertifikat für IPv6-only Adresse

Autor: Michael · veröffentlicht 6.5.2016 13:10 Uhr · zuletzt geändert 6.5.2016 12:57 Uhr · Tags: linux

Mit Let's Encrypt ist vor einiger Zeit eine Initiative gestartet, die Verschlüsselung im Netz ausweiten will, dementsprechend kostenlose Zertifikate für Webseitenbetreiber ausstellt und einige Mankos von StartSSL, dem mir bisher einzig bekannten Gratisanbieter für entsprechende Zertifikate, ausmerzt. Über die Sinnhaftigkeit von Zertifikaten, die die Authentizität des Webseitenbetreibers rein über eine Prüfung der Webseitenadresse (Domain Name Validation) vornehmen und auf Identitätsprüfung beispielsweise anhand von amtlichen Ausweisdokumenten verzichten, will ich hier nicht referieren sondern mich lediglich daran erfreuen, dass man auf sehr einfache Art und Weise eine Server-to-Client Verschlüsselung realisieren und somit den Anteil am verschlüsselten Internetverkehr erhöhen kann.

Trotz einer rege aktiven Entwicklerschar hat es Let's Encrypt bis zum heutigen Tage (Stand Anfang Mai 2016) nicht geschafft, die eigene Infrastruktur IPv6-tauglich zu machen und Zertifikate ausgeben zu können, die für IPv6-only Server funktionieren. Für eines meiner Bastelprojekte benötigte ich aber genau so etwas. Es funktioniert über einen einfachen Umweg: Nehmen wir an, der Server soll verschlüsselt unter v6.familie-matthes.de erreichbar sein. Wir erstellen im korrespondieren DNS-Server einen A-Eintrag für die Subdomain mit möglichst kurzer TTL (beispielsweise 60 Sekunden) und validieren hierüber ein Zertifikat für diese Adresse. Dann löschen wir diesen Eintrag wieder und legen nur einen AAAA-Eintrag auf die gewünschte Zieladresse an. Das Zertifikat wird dann wie gewohnt beispielsweise in den auf IPv6-Abfragen lauschenden nginx eingebunden.

Fragen? Anregungen? Kommentare? Lass es mich wissen!