CCP: Dane / DNSSEC

  • Guten Morgen,



    wir sehen das so, dass das Verständnis für DNSSEC erst noch bei der breiten Masse an Nutzern erreicht werden muss. Viele Vergabestellen unterstützen dieses ja auch noch gar nicht. Die Denic ist hier zum Glück in einer führenden Position. Allerdings nutzen nur sehr wenige der Mitglieder DNSSEC überhaupt.



    Mit freundlichen Grüßen


    Felix Preuß

  • Ist ansich so ein Henne-Ei Problem.


    Die Provider argumentieren "will ja keiner", die Nutzer argumentieren "kann ja keiner".
    Einer muss den Anfang machen, dass war/ist auch bei IPv6 so. ;)


    Wobei die Lage bei IPv6 auch noch recht schwierig ist :(
    Dane wäre schon klasse wenn das dann gleich mit geht, gerade in Bezug auf die bekannten Probleme bei TLS Verbindungen.

  • DANE könnte man auch als gewisse Konkurrenz für herkömmliche SSL-Zertifikate ansehen. Eventuell wird es deswegen von bestimmten Anbietern nicht gerade gefördert (für uns ist das aber kein Grund).


    Der Implementierungsaufwand ist hier allerdings auch nicht zu unterschätzen. Uns kostet die Implementierung, gemessen am Personalaufwand, einen höheren 5 stelligen Betrag. Der muss anschließend wieder eingenommen werden. Besonders bei Domains herrscht ein sehr großer Wettbewerb vor. Die Gewinnspannen liegen hier im Cent-Bereich. Das ist sicherlich auch ein weiterer Grund, warum sich so etwas nur schwer durchsetzen wird.


    Wir würden DANE und DNSSEC nutzen um Kunden für andere Produkte zu gewinnen (Webhosting und Root-Server). So kann der Implementierungsaufwand dann quersubventioniert werden. Reine Domainanbieter haben es hier schwieriger. Die verdienen z.B. häufig noch an SSL-Zertifikaten. ;)



    Mit freundlichen Grüßen


    Felix Preuß

  • Man kann es aber auch so sehen, dass man als Domainanbieter mit Dane einen Vorsprung vor den anderen hat und damit wettbewerbsfähig bleibt.
    Dafür muss aber natürlich ein gewisses bewusstsein für Dane entstehen.


    Allerdings hätte ich generell eher erwartet, dass verschlüsselung und signieren auch bei otto normalbürger nach nsa, gchq und dergleichen zumindest etwas interesse wecken.

  • Bin auch bereit für den DANE support nen €uro mehr zu bezahlen, wenn man das als Zusatzpaket buchen kann... :rolleyes:


    Klar, die Frage ist immer noch ob sich das durchsetzt, insofern auch fraglich ob man da schon investieren soll. Ich sehe derzeit aber keine radikale Neuerung im Bereich TLS/Zertifikate, die das aktuelle System auch nur im entferntesten ablösen/aufwerten könnten. Spätestens im Sommer 2015 wird mit Lets Encrypt der letzte Todesstoß den ganzen CAs gesetzt.