DNSSEC und DANE

  • Hallo!


    Das Bundesamt für Sicherheit in der Informationstechnik hat vor einigen Tagen einen Entwurf einer technischen Richtlinie für den sicheren E-Mail-Transport mit DNSSEC und DANE veröffentlicht. Heise Online berichtete darüber in verschiedenen Beiträgen:

    Auch hier im Forum war DNSSEC und DANE vor längerer Zeit schon mal ein Thema . Und in den Netcup-News war zu lesen , dass "bereits an der Realisierung von DNSSEC und DANE" gearbeitet wird. Seitdem ist fast ein halbes Jahr vergangen. Wie weit ist die Realisierung denn mittlerweile fortgeschritten? Wann können Netcup-Kunden damit rechnen? Gibt es schon einen Termin?


    Viele Grüße
    Laplace

  • Ich nehme mal an du meinst den Mailservice von NetCup selber?


    Wenn du einen eigenen Mailserver betreibst sollte es dir wohl auch moeglich sein, dich um SSL Konfiguration und DNS eintraege fuer TLSA und DNSSEC selbst zu kuemmern.

  • Ich nehme mal an du meinst den Mailservice von NetCup selber?

    Nein, ich betreibe einen eigenen Mailserver.


    Wenn du einen eigenen Mailserver betreibst sollte es dir wohl auch moeglich sein, dich um SSL Konfiguration und DNS eintraege fuer TLSA und DNSSEC selbst zu kuemmern.

    Was meinst du mit "selbst kümmern"? Soll ich mindestens zwei DNS-Server selbst betreiben, nur will ich meinen Mailserver mit DNSSEC und DANE absichern möchte?

  • Guten Morgen,



    für DNSSEC und DANE muss der Domainregistrar an die Registry entsprechende Keys weiterleiten.


    DNSSEC werden wer für .de , .at und .eu mit großer Wahrscheinlichkeit noch diesen Herbst anbieten. Die Arbeiten hieran sind so gut wie abgeschlossen, allerdings folgt im September noch eine größere Änderung die vor dem DNSSEC kommt.


    Weitere TLDs werden dann folgen, sofern die Vergabestelle DNSSEC überhaupt unterstützt.



    Mit freundlichen Grüßen


    Felix Preuß

  • DNSSEC werden wer für .de , .at und .eu mit großer Wahrscheinlichkeit noch diesen Herbst anbieten.


    Das hört sich doch schon sehr gut an! Wird DNSSEC dann sowohl denen, die die DNS-Server von Netcup nutzen, als auch denen, die eigene DNS-Server verwenden, zur Verfügung stehen?


    Und wie sieht es bei DANE aus? Gibt es da schon eine Timeline?

  • Ich hätte nur mal eine kurze Verständnisfrage zu DNSSEC: Ich habe sowohl Domains bei Netcup also auch wo anders registriert und hab jetzt erstmal bei dem anderen Registrar testweise für eine Domain DNSSEC aktivieren wollten. Da ich eigene Nameserver betreibe, stehen die beiden DNSKEY Einträge im zonefile auf meinem Nameserver und ich dachte dass der Registrar von mir nur den DS Record benötigt, um ihn dann bei DENIC zu hinterlegen. Aber dem scheint nicht so zu sein, denn mit den beiden kurzen DS Keys alleine konnte man dort nix anfangen "Die sind zu kurz, wir brauchen längere Keys", naja der längere Key den die haben wollten war dann der DNSKEY so wie er auf meinem Nameserver liegt. Nur ist mir schleierhaft, wieso der im Rahmen dieses Prozesses nicht online von meinem Nameserver geholt werden kann, DENIC soll doch über den DS Key bestätigen, dass der DNSKEY mit dem ich die einzelnen DNS Einträge meiner Domain signiere valide ist. Deshalb sollte dieser Abgleich doch mit dem tatsächlich auf dem Server befindlichen DNSKEY durchgeführt werden und nicht mit irgendeinem eventuell falschen Key der händisch zusammen mit dem DS Key übermittelt wird.


    Oder verstehe ich da noch was falsch im Prozess?

  • Ich gehe mal davon aus, dass du mit "kurzem Key" den Hash des Key-Signing-Keys meinst. Was spricht denn dagegen, sich als Verwalter der übergeordneten Zone den KSK geben zu lassen und dann die Hashs (also sowohl SHA1 als auch auch SHA256) selbst zu berechnen? Der DS-Record kennt schließlich verschiedene Hash-Verfahren und ich glaube, DNS-Server sollten zumindest für eine Übergangsphase aus Kompatibilitätsgründen sogar beide Hash-Verfahren ausliefern.

  • Du hast insofern recht, das der DS Eintrag in der .de Zone vollkommen ausreichend sein sollte.


    Je nach Registry wird das aber anders gehandhabt und tatsaechlich ist es sogar netter den DNSKEY Record des KSK eine Zone hoeher schon anzulegen. Damit spart man sich eines DNS Roundtriptime und kann direkt die ZSK und ihre Signaturen aus dem DNS deiner Zone abfragen und validieren.


    Ich rate auf jeden Fall dazu mal hier nachzusehen um sich mit dem Thema eingehender vertraut zu machen und vor allem auch das Key-Management hinzubekommen und zu _testen_:


    - Good Practices Guide for Deploying DNSSEC — ENISA
    - DNSSEC Policy and Practice Statement — RIPE Network Coordination Centre


    Viele Gruesse

  • Ok danke für die Antwort. Klar können die den Hash selber berechnen, aber was ich nicht verstehe ist wieso sie dazu beide Keys brauchen. Ich glaub ich hab einfach die DNSSEC Spec noch nicht richtig verstanden, weil mein Verständis ist, dass nur der KSK einen DENIC DS Eintrag haben sollte, denn mit dem von DENIC verifizierten KSK signiere ich meinen ZSK und der ZSK signiert die einzelnen DNS Einträge. Allerdings hat DENIC jetzt sowohl meinen KSK als auch meinen ZSK bei sich eingetragen, allerdings beide nur als SHA256 und nach meinem Verständnis gehört der ZSK da gar net hin, weil sich der ja im Gegensatz zum dauerhaft gültigen KSK ändern könnte. Das ist auch der Grund weshalb ich nicht verstanden habe, wieso die überhaupt die beiden Keys von mir verlangt haben. Im Grunde braucht DENIC doch nur den DS Record mit den beiden Hashs für den KSK. Nagut der Eintrag ist jetzt so wie er ist und er funktioniert ja auch, insofern wars nur etwas vergeudete Zeit mit dem Support zu argumentieren, dass sie die Keys die sie haben wollen nach meinem Verständnis gar nicht brauchen ;-)

  • Guten Morgen,



    Quote

    Wird DNSSEC dann sowohl denen, die die DNS-Server von Netcup nutzen, als
    auch denen, die eigene DNS-Server verwenden, zur Verfügung stehen?

    zunächst werden wir das Feature Kunden die eigene Nameserver betreiben anbieten.


    DANE wird so schnell wir möglich folgen. Wann dieses der Fall sein wird, kann ich Stand heute aber nicht sagen.



    Viele Grüße


    Felix