DNSSEC: DS-Records werden nicht gefunden

    Hallo zusammen,


    ich verwalte mit drei Nameservern mehrere Domains, bei zweien davon habe ich nun DNSSEC eingerichtet. Bei einer davon funktioniert alles wie gewünscht, bei der anderen werden zwar die DS-Records im CCP übernommen, allerdings werden nach mehr als 2 Tagen immer noch keine DS-Records gefunden.


    1.
    ormanns.net funktioniert problemlos (siehe ormanns.net | DNSViz oder DNSSEC Analyzer - ormanns.net)
    Im CCP sind die Angaben wie folgt:

    Zitat

    Öffentlicher Schlüssel: 36D135565E4FD83871C5A2829548BC495AD565ED52CEE4EF5C79F5281FD17B6F
    Hashtyp: SHA-256 (2)
    Keytag: 64101
    Algorithmus: RSASHA1-NSEC3-SHA1 (7)

    Zitat

    Öffentlicher Schlüssel: 859E544AC10965403C0C666FCD5D4368A5F0E383
    Hashtyp: SHA-1 (1)
    Keytag: 64101
    Algorithmus: RSASHA1-NSEC3-SHA1 (7)

    Im Zonefile sind Kormanns.net.+007+38219.key und Kormanns.net.+007+64101.key eingebunden.



    2.
    für syncookie.de werden keine DS-Records gefunden (siehe syncookie.de | DNSViz oder DNSSEC Analyzer - syncookie.de)
    Im CCP sind die Angaben wie folgt:

    Zitat

    Öffentlicher Schlüssel: BB3553956DC52388B7A36DC526DBC2DD5D36A82D
    Flags: ZSK (256)
    Algorithmus: RSASHA1-NSEC3-SHA1 (7)

    Zitat

    Öffentlicher Schlüssel: 9008BC78042FA31CF513DA72670C15E63C29B98A2858683900CDE3C06E541D7C
    Flags: KSK (257)
    Algorithmus: RSASHA1-NSEC3-SHA1 (7)

    Im Zonefile sind /var/cache/bind/Ksyncookie.de.+007+29115.key und /var/cache/bind/Ksyncookie.de.+007+63779.key eingebunden.



    Ich habe das Gefühl, irgendwas simples übersehen zu haben...vielleicht findet jemand ja einen - womöglich offensichtlichen - Fehler?


    MfG Aleph

    In der übergeordneten .de Zone wird nur ein DS-Record der auf den Key Signing Key (=Flags 257) zeigt erstellt, das ist bei dir in der syncookie.de Zone der mit ID 29115. Ich habe meine Domains nicht bei netcup registriert, kenne daher deren WebOberfläche (CCP) nicht. Aber der ZSK (=Flags 256) hat im CCP jedenfalls nichts zu suchen.


    Generell fällt mir auf:
    RSA 4096 zu verwenden halte ich für übertrieben, gerade weil aufgrund der Paket-Größen Problematik die DNS-Antworten kurz sein sollten, würde ich derzeit noch auf RSA 2048 setzen.
    Bei einer neuen Domain noch SHA1 zu verwenden würde ich nicht mehr tun, würde jetzt tunlichst schon mit SHA256 starten.

    gunnarh,


    vielen Dank für deine Antwort und den Hinweis mit SHA1 - die Schlüssel werde ich, wenn das grundsätzliche Prozedere klar ist, dann wahrscheinlich nochmal ersetzen.


    Ich habe die Schlüssel aus der Datei "dsset-syncookie.de." entnommen, diese Datei wurde beim Erstellen der Schlüssel angelegt und hat folgenden Inhalt:

    Zitat

    syncookie.de. IN DS 29115 7 1 BB3553956DC52388B7A36DC526DBC2DD5D36A82D
    syncookie.de. IN DS 29115 7 2 9008BC78042FA31CF513DA72670C15E63C29B98A2858683900CDE3C0 6E541D7C

    Auch wenn ich jetzt beide Schlüssel als KSK angebe, werden keine gültigen DS-Records gefunden. Einigermaßen verwirrend ist halt, dass bei ormanns.net andere Angaben notwendig / möglich sind als bei syncookie.de - bei letzterer Domain kann ich nur den öffentlihen Schlüssel, die Flags (0 / ZSK(256) / KSK (257)) und natürlich den Algorithmus angeben.


    MfG Aleph

    Das die .net Registry andere Syntax nutzt als die .de Registry kann sein.
    Technisch gesehen läuft es aber immer auf das gleiche raus. Du gibst die Werte des KSK (257) an, in Deinem Fall die des Schlüssels 29115.


    Zitat


    syncookie.de. IN DS 29115 7 1 BB3553956DC52388B7A36DC526DBC2DD5D36A82D
    syncookie.de. IN DS 29115 7 2 9008BC78042FA31CF513DA72670C15E63C29B98A2858683900CDE3C0 6E541D7C


    29115 ist die ID deines KSK
    7 der Algorithmus RSASHA1-NSEC3-SHA1
    1 steht für SHA1 und 2 steht hier für SHA256. Du musst in der Weboberfläche nur einen der beiden hinterlegen.


    Hier ist 1 und 2 nicht mit dem SHA1 im 7 des Alorithmus zu verwechseln. 1 und 2 sind hier lediglich zwei Varianten den Hash Deines DS-Pubkeys zu bilden, während der Algorithmus 7 fix SHA1 beinhaltet - an dieser Stelle hätte ich Dir wie gesagt empfohlen gleich von Beginn an Algorithmus 8 (RSA SHA256) zu nutzen und wie gesagt die Schlüssellänge des KSK auf 2048 zu reduzieren, für den ZSK ist sogar 1024 ausreichend, da dieser automatisiert periodisch geändert werden kann.


    Vielleicht hilft Dir auch mein hier veröffentlichtes PDF-Dokument:
    Sicherer E-Mail-Dienste-Anbieter (DNSSec & DANE) ← Gunnar Haslinger
    Im hier erhältlichen Dokument ist das Procedere der Hinterlegung beim Registrar auf Seite 30 erläutert.

    gunnarh und chrko,


    vielen Dank für eure Antworten. chrkos Hinweis hat letztendlich den Ausschlag gegeben. Falls noch jemand vor dem Problem stehen sollte. Einmal den ZSK und einmal den KSK angeben, die entsprechenden Flags und Algorithmen auswählen und beim DNSKEY die 5 Zahlen am Anfang weglassen.


    MfG Aleph