Die SSL Fingerabrücke für das aktuelle Zertifikat sind:

MD5: 8D A3 0E AC 37 B1 70 6B E6 16 69 DF B1 07 C6 81

SHA1: 7A 0B A5 A0 B7 23 9F 5F EE 1B 86 FB 42 23 17 C2 2E B9 AE 1E

TLSA Records im DNS für das Server Zertifikat werden dann (hoffentlich) auch noch kommen. Stay tuned.

Diese Domain ist im DNS signiert und die Zertifikate für HTTPS und SMTP sind über DANE gesichert.

Mit dem folgenden Befehl kann man sich das TLS Zertifikat des Servers holen und die SHA256 Prüfsumme ausgeben lassen.

openssl x509 -in <(openssl s_client -servername 0x41414141.de -connect 0x41414141.de:443 -prexit 2>/dev/null) -outform DER | openssl sha256

Die Ausgabe muss man dann mit den Daten aus dem DNS vergleichen.

dig _443._tcp.0x41414141.de IN TLSA +short

Die Ausgabe sollte wie folgt aussehen:

me@mybox:~$ openssl x509 -in <(openssl s_client -servername 0x41414141.de -connect 0x41414141.de:443 -prexit 2>/dev/null) -outform DER | openssl sha256
(stdin)= d108d48a1d54c760c2c2fad90dc1697d065bb5239fcd98e43d553b0def99ed6e

me@mybox:~$ dig _443._tcp.0x41414141.de IN TLSA +short
3 0 1 D108D48A1D54C760C2C2FAD90DC1697D065BB5239FCD98E43D553B0D EF99ED6E

Wie man sehen kann sind die Prüfsummen Werte aus Zeile 2 und 5 identisch, wenn man mal von der unterschiedlichen Groß- und Kleinschreibung absieht.