CCP: Dane / DNSSEC
- Turbokeks
- Erledigt
-
-
Guten Abend,
das ist nach wie vor in Arbeit. Relativ zeitnah wird als erstes Feature nutzbar sein, dass eigene DNS-Server hinterlegt werden können.
Mit freundlichen Grüßen
Felix Preuß
-
Das freut einen zu hören da insbesondere DNSSEC immer wichtiger wird.
-
Eine schande, dass nur so wenige Provider das überhaupt anbieten.
Selbst große "hauptamtliche" Domainprovider nicht. -
Guten Morgen,
wir sehen das so, dass das Verständnis für DNSSEC erst noch bei der breiten Masse an Nutzern erreicht werden muss. Viele Vergabestellen unterstützen dieses ja auch noch gar nicht. Die Denic ist hier zum Glück in einer führenden Position. Allerdings nutzen nur sehr wenige der Mitglieder DNSSEC überhaupt.
Mit freundlichen Grüßen
Felix Preuß
-
Ist ansich so ein Henne-Ei Problem.
Die Provider argumentieren "will ja keiner", die Nutzer argumentieren "kann ja keiner".
Einer muss den Anfang machen, dass war/ist auch bei IPv6 so. -
Ist ansich so ein Henne-Ei Problem.
Die Provider argumentieren "will ja keiner", die Nutzer argumentieren "kann ja keiner".
Einer muss den Anfang machen, dass war/ist auch bei IPv6 so.Wobei die Lage bei IPv6 auch noch recht schwierig ist
Dane wäre schon klasse wenn das dann gleich mit geht, gerade in Bezug auf die bekannten Probleme bei TLS Verbindungen. -
DANE könnte man auch als gewisse Konkurrenz für herkömmliche SSL-Zertifikate ansehen. Eventuell wird es deswegen von bestimmten Anbietern nicht gerade gefördert (für uns ist das aber kein Grund).
Der Implementierungsaufwand ist hier allerdings auch nicht zu unterschätzen. Uns kostet die Implementierung, gemessen am Personalaufwand, einen höheren 5 stelligen Betrag. Der muss anschließend wieder eingenommen werden. Besonders bei Domains herrscht ein sehr großer Wettbewerb vor. Die Gewinnspannen liegen hier im Cent-Bereich. Das ist sicherlich auch ein weiterer Grund, warum sich so etwas nur schwer durchsetzen wird.
Wir würden DANE und DNSSEC nutzen um Kunden für andere Produkte zu gewinnen (Webhosting und Root-Server). So kann der Implementierungsaufwand dann quersubventioniert werden. Reine Domainanbieter haben es hier schwieriger. Die verdienen z.B. häufig noch an SSL-Zertifikaten.
Mit freundlichen Grüßen
Felix Preuß
-
Vielen Dank für die Erläuterung aus Provider-Sicht.
Das macht es verständlicher.Auch wenn es trotzdem schade ist, dass hier mal wieder der Sicherheitsaspekt dem schnöden Mammon weichen muss.
-
Man kann es aber auch so sehen, dass man als Domainanbieter mit Dane einen Vorsprung vor den anderen hat und damit wettbewerbsfähig bleibt.
Dafür muss aber natürlich ein gewisses bewusstsein für Dane entstehen.Allerdings hätte ich generell eher erwartet, dass verschlüsselung und signieren auch bei otto normalbürger nach nsa, gchq und dergleichen zumindest etwas interesse wecken.
-
Bin auch bereit für den DANE support nen €uro mehr zu bezahlen, wenn man das als Zusatzpaket buchen kann...
Klar, die Frage ist immer noch ob sich das durchsetzt, insofern auch fraglich ob man da schon investieren soll. Ich sehe derzeit aber keine radikale Neuerung im Bereich TLS/Zertifikate, die das aktuelle System auch nur im entferntesten ablösen/aufwerten könnten. Spätestens im Sommer 2015 wird mit Lets Encrypt der letzte Todesstoß den ganzen CAs gesetzt.