DNSSEC einer .de-Domain

  • Guten Tag,


    ich versuche seit einigen Tagen, eine gültige DNSSEC-Konfiguration mit einem eigenen DNS-Server zu "bauen".

    Es scheint, dass einzig die Validierung/Bestätigung durch das Denic fehlt. Getestet habe ich das mit dem Tool "https://dnsviz.net/".

    Es gibt offenbar nur wenige Domains, bei denen die ganze Kette gültig ist. Beispiele sind "bund.de", "denic.de" oder "bsi.de".

    Nach diesem Tool zu urteilen, sind nicht einmal "ebay.de" oder "google.de" mit DNSSEC implementiert, bzw. sind unsicher.


    Gibt es jemanden hier, der eine "sichere" Konfiguration hat, (wie die von bsi.de) und die mit einem eigenen DNS via Netcup eingerichtet ist?


    Ich hätte gerne einmal ein Konfigurationsbeispiel. Oder mache ich einen generellen Denkfehler?


    Grüße

    Bernd Lühr

  • Ja, ich betreibe eigene Nameserver und nutze DNSSEC - allerdings nicht mit einer DE-Domain, sondern mit ein paar .AT, .BIZ, .NET, .ORG Domains.


    Woran konkret scheiterst Du denn?

    Ganz grundsätzlich kann ich immer noch (obwohl mittlerweile ein paar Jahre alt) mein ausführliches HowTo aus dem Jahr 2015 empfehlen:

    Sicherer E-Mail-Dienste-Anbieter (DNSSec & DANE)


    Beispiele wie die WebOberfläche von NetCup beim Hinterlegen des KSK aussieht findest Du in meinem HowTo zwar nicht, aber im Kapitel 2.7 zeige ich das anhand von Screenshots mit zwei anderen Registraren. Die Vorgangsweise ist immer identisch - entweder man hinterlegt den PubKey oder den Hash davon (je nachdem wie der Provider bzw. die Registry das implementiert haben).


    Wie das bei NetCup mit DE-Domains aussieht ist im NetCup-Wiki dokumentiert:

    Domains CCP – netcup Wiki (netcup-wiki.de)

  • Hallo Gunnar,


    genau nach deiner Anleitung habe ich das eingerichtet. Auch die Wiki-Seite von netcup ist bekannt.

    An der Stelle "öffentlicher Schlüssel" ist einer der Einträge aus der dsset-Datei eingetragen, Algorithmus 8, Flag 257.

    Nach meinem Verständnis müsste der Schlüssel vom Denic übernommen werden und die Kette damit "secure" werden.

    Das ist bislang nicht der Fall (s. Anlage.)


    Grüße

    Bernd Lührhurke-de.jpg

  • Da ist in der DENIC Registry noch kein DNSKEY hinterlegt.


    Du kannst das "live" prüfen ohne auf Nameserver-Updates warten zu müssen, indem Du mittels whois direkt Deine Domain abfrägst. Vergleiche mit einer DNSSEC registrierten Domain, bei Dir scheint da noch kein DNSKEY auf, bei bund.de beispielsweise schon.


    Das Eintragen mittels NetCup-Webinterface in die DENIC-Registry sollte "live" funktionieren. Wirksam wird es dann (und somit mit DNSViz prüfbar) sobald die DE-Root-Server reloaden, wie oft das bei DE-Domains passiert weiß ich nicht auswändig (bei AT-Domains gibt es hierfür fixe Zeiten mit 2-Stunden Intervall).

  • ... Oder mache ich einen generellen Denkfehler?

    Hallo Bernd, da man manchmal den Wald vor lauter Bäumen nicht sieht: Hast du auch schon deine öffentlichen DNSSEC-Schlüssel zur Domain bei Netcup unter den Bereich "Domain Name System Security Extensions (DNSSEC)" eingetragen? Denn erst danach wird es auch in der Whois-DB (whois meine-domain.de) bei der DENIC sichtbar.

  • Hallo Bernd, da man manchmal den Wald vor lauter Bäumen nicht sieht: Hast du auch schon deine öffentlichen DNSSEC-Schlüssel zur Domain bei Netcup unter den Bereich "Domain Name System Security Extensions (DNSSEC)" eingetragen? Denn erst danach wird es auch in der Whois-DB (whois meine-domain.de) bei der DENIC sichtbar.

    Guten Morgen Andreas,


    ich bin mir zur Zeit nicht sicher, welcher Public-Key eingetragen werden muss:

    -einer oder beide aus der dsset-Datei?

    -oder der KSK aus der entsprechenden Datei?


    Wenn ich den letztgenannten ansehe, dann entspricht dieser vom Format her dem Key von "bsi.de", der als gültig beim Denic für die Domain bsi.de eingetragen ist.


    Zweite Möglichkeit: der Übertragungsmechanismus von Netcup funktioniert nicht.


    Grüße

    Bernd

  • Die Denic mag nur PublicKeys und generiert sich daraus die DS Records selbst.

    Ich benutze immer die Public KSK Keys mit Algorithm 8.

    Hallo,

    OK, das hatte ich auch in einer der vielen Dokus gelesen.

    Es hat jetzt auch geklappt, der Key aus der Key-Datei wurde übernommen.

    Warum das vorher (den jetzigen Zustand hatte ich schon einmal) nicht geklappt hatte, ist mir nicht ganz klar.

    Aber egal, jetzt ist der Key übernommen, vielen Dank allen, die auf meine Frage geantwortet hatten.


    Grüße

    Bernd Lühr

  • Nein, der 256er Key ist nicht bei DENIC zu hinterlegen.


    Der Zone Signing Key (Type 256 = ZSK) signiert die ganze Zone, also jeden einzelnen Eintrag in der Zone.

    Der Key-Signing-Key (Type 257 = KSK) hingegen signiert nur den DNSKEY-Eintrag des Zone-Signing-Keys und wird in der darüber liegenden Zone verankert.


    Der derzeitige Zustand scheint mir korrekt zu sein.

  • Nein, der 256er Key ist nicht bei DENIC zu hinterlegen.


    Der Zone Signing Key (Type 256 = ZSK) signiert die ganze Zone, also jeden einzelnen Eintrag in der Zone.

    Wenn ich dich jetzt richtig verstehe, ist sogar der Eintrag "Type 256 = ZSK", wenn man sich nur für einen der beiden Einträge entscheiden dürfte, gegenüber dem "Type 257 = KSK" der Bessere, da hier ja sogar jede einzelne Zone signiert wird. Habe ich dich da richtig verstanden?

  • Nein, das hast du falsch verstanden.


    Ich wiederhole mich daher:

    Der Key-Signing-Key (Type 257 = KSK) hingegen signiert nur den DNSKEY-Eintrag des Zone-Signing-Keys und wird in der darüber liegenden Zone verankert.

    Der Zone Signing Key (Type 256 = ZSK) signiert die ganze Zone, also jeden einzelnen Eintrag in der Zone.


    Der ZSK wird vom KSK abgesichert, welcher wiederum in der .DE Zone verankert wird.

    Der Hauptgrund dieser Best-Practice Vorgangsweise besteht darin, dass der Key-Rollover des ZSK bei diversen Nameserver-Implementierungen automatisch passiert bzw. man diesen i.d.R. eben gescriptet/automatisiert durchführt. Wohingegen der KSK ein statischer Key ist, der sich i.d.R. durch einen menschlichen, geplanten Eingriff ändert. Immerhin muss dazu dann ja eine API oder ein WebInterface "bedient werden", welcher den Key in der DE-Zone bei DENIC tauscht bzw. hier parallel zwei Keys als gültig hinterlegt und dann einen löscht (RollOver).

  • Der Hauptgrund dieser Best-Practice Vorgangsweise besteht darin, dass der Key-Rollover des ZSK bei diversen Nameserver-Implementierungen automatisch passiert bzw. man diesen i.d.R. eben gescriptet/automatisiert durchführt.

    Wenn ich dich jetzt richtig verstanden habe, würde es vereinfacht heißen: Wenn ich auch den ZSK bei der DENIC hinterlegt habe und ich an einen meiner Records meiner Domain eine Änderung durchführe, müßte ich der DENIC auch einen neuen ZSK Schlüssel händisch (sofern von mir nicht automatisiert) hinterlegen?

  • Nein.

    Vielleicht hilft es Dir, wenn Du Dir die Grafik in Kapitel 2.2 in meinem Tutorial auf Sicherer E-Mail-Dienste-Anbieter (DNSSec & DANE) ansiehst.


    Deine "Records" (z.B. A, AAAA, C-Name, ...) werden mit dem ZSK signiert.

    Der ZSK wird mit dem KSK signiert.

    Der Public-Key des KSK wird in der darüberliegenden Zone hinterlegt (DENIC).


    Update der Records sind nur möglich, wenn Du im Besitz des ZSK-PrivKey bist.

    Ein Update des ZSK ist autonom auf deinem Nameserver möglich, solange Du im Besitz des KSK-PrivKey bist.


    Lediglich für ein Rollover des KSK benötigst Du die Mitwirkung (WebInterface, API) der darüberliegenden Zone.

    Ein Rollover des ZSK hingegen kannst Du beim geschilderten Best-Practice Setup selbst durchführen.

    Ein Update der o.a. Records hingegen ist in jedem Fall autark möglich.