DNSSEC für .at Domains

  • Ich hoste den DNS Server für meinen eigenen Domains, was auch wunderbar funktioniert.

    Als Backend nehme ich dafür PowerDNS mit MySQL.


    Wenn ich nun jedoch meine Domains per DNSSEC absichern möchte, ist mir aufgefallen das es für .de und für .at Domains komplett unterschiedlich ist:


    .at Domain.JPG.de Domain.JPG


    Als Algo nehme ich jeweils ECDSAP256SHA256 (13) für das signieren der Zone, aber was soll der Keytag für die .at Domain sein?

    Für die .de kann ich nichtmal den Hashtyp auswählen.


    Bin bisschen Lost wie ich für die .at Domain DNSSEC realisieren soll.

  • Bei .de musst du den DNSKEY hinterlegen ("Öffentlicher Schlüssel"). Dieser hat keinen Hashtyp, weil es kein Hash ist.


    Bei .at musst du den DS-Record (dieser wird als Hash aus dem DNSKEY berechnet), hinterlegen.


    Die jeweils benötigten Daten unterscheiden sich, da eben ein unterschiedliches Datenformat benötigt wird. Die Registry definiert, was gebraucht wird, daher ist es bei .de und .at unterschiedlich. Bei den meisten TLDs wird der DS-Record gebraucht, bei .de aber z.B. eben der DNSKEY.


    Die Daten sollte dir deine Nameserver-Software liefern, bzw. du solltest diese darüber generieren können.


    EDIT: Konkret, bei PowerDNS mit

    Code
    # pdnsutil show-zone $DOMAIN
  • Also die Ausgabe von pdnsutil show-zone sieht ja ungefähr so aus:

    Code
    keys:
    ID = 9 (CSK), flags = 257, tag = 12345, algo = 13, bits = 256     Active ( ECDSAP256SHA256 )
    CSK DNSKEY = deinedomain.at. IN DNSKEY 257 3 13 zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz ; ( ECDSAP256SHA256 )
    DS = deinedomain.at. IN DS 12345 13 1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; ( SHA1 digest )
    DS = deinedomain.at. IN DS 12345 13 2 bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb ; ( SHA256 digest )
    DS = deinedomain.at. IN DS 12345 13 4 ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc ; ( SHA-384 digest )


    Du brauchst nun einen der DS-Records. Also eine der mit "DS" beginnenden Zeilen.


    Der Key-Tag ist die fünfstellige Nummer hinter "DS", hier 12345 (steht oben auch bei "tag = 12345"). Dahinter folgt der Algorithmus, hier 13 (siehst du auch oben bei "algo = 13"). Der Hashtyp ist die einstellige Zahl hinter dem Key-Tag (hier 1, 2 oder 4). Hier einfach am besten die höchste Zahl nehmen, die dir auch bei netcup unter "Algorithmus" angeboten wird. Und dazu dann noch den passenden Keyhash (die lange Zeichenkette hinter dem Hashtyp in der gleichen Zeile) bei "öffentlicher Schlüssel Digest" eintragen. Das Semikolon am Ende gehört nicht mehr dazu. Also nur bis vor " ;" kopieren.