Domain: DNSDEC + ED25519 (15) ?

pital · May 31st 2024

Hallo, ich verwende für eine Domain einen eigenen Nameserver und möchte DNSSEC mit ED25519 verwenden.

Im CCP gibt es Algorithmus 15 aber nicht, nur 3 5 6 7 8 10 12 13 14. Vielleicht gab es ED25519 und ED448 noch nicht als das Interface programmiert wurde?

Vorerst verwende ich erfolgreich RSASHA1-NSEC3-SHA1 (7), abhesehen vonr Warnungen dass es beim Testen mit https://dnsviz.net/ "not recommended" ist.

Jedenfalls ist nur ED25519 laut RFC8624 "recommended": https://datatracker.ietf.org/doc/html/rfc8624#section-3

Patrick0815 · May 31st 2024

Musst du ev über den Support anfragen.

DNSSEC wird z.Z. überarbeitet https://forum.netcup.de/netcup…ginal-ttl-fie/#post219364

tab · May 31st 2024

Ich bin da zwar kein wirklicher Experte, denke aber, dass 'MUST' bei der Implementierung der verschiedenen DNSKEY Algorithmen eher mehr ist als 'RECOMMENDED'. Das heißt meiner Interpretation nach, dass z.B. Algorithmus 13 implementiert sein MUSS, während die Implementierung von Algorithmus 15 lediglich EMPFOHLEN ist. Dementsprechend wird z.B. bei deSEC (zumindest bei de-Domains) auch Alg. 13 verwendet, der dann im CCP auch prompt zur Verfügung steht, im Gegensatz zu Alg. 15.

pital · May 31st 2024

Über die Übersetzung / Bedeutung von

- not recommended - vermeiden

- may - ist möglich, aber nicht so prall

- must - kann problemlos verwendet werden

- recommended - das optimale

hab ich auch gegrübelt! Wie ICH denke dass man die Tebelle in der RFC übersetzt hab ich inten dran geschrieben. Sicher bin ich aber nicht!

Auch gehe ich davon aus dass neuere Algos nach und nach hinzugefügt werden und höhre Nummern bekommen

Wenn man das "must" mit "dieser Algo MUSS verwendet" werden überstezt, müssen das aber mehrere Algos sein!?

Hier mal die Tabelle aus https://datatracker.ietf.org/doc/html/rfc8624#section-3

Code

+--------+--------------------+-----------------+-------------------+
| Number | Mnemonics          | DNSSEC Signing  | DNSSEC Validation |
+--------+--------------------+-----------------+-------------------+
| 1      | RSAMD5             | MUST NOT        | MUST NOT          |
| 3      | DSA                | MUST NOT        | MUST NOT          |
| 5      | RSASHA1            | NOT RECOMMENDED | MUST              |
| 6      | DSA-NSEC3-SHA1     | MUST NOT        | MUST NOT          |
| 7      | RSASHA1-NSEC3-SHA1 | NOT RECOMMENDED | MUST              |
| 8      | RSASHA256          | MUST            | MUST              |
| 10     | RSASHA512          | NOT RECOMMENDED | MUST              |
| 12     | ECC-GOST           | MUST NOT        | MAY               |
| 13     | ECDSAP256SHA256    | MUST            | MUST              |
| 14     | ECDSAP384SHA384    | MAY             | RECOMMENDED       |
| 15     | ED25519            | RECOMMENDED     | RECOMMENDED       |
| 16     | ED448              | MAY             | RECOMMENDED       |
+--------+--------------------+-----------------+-------------------+

Display More

Patrick0815 Eigentlich fehlt ja nur ein item in der comboox. Im DNS ist dann einfach eine andere Zahl

tab · Jun 1st 2024

Es sind ja die Empfehlungen, welche Algorithmen zum Signeren und Validieren implementiert werden sollten. Die Übersetzung von recommended ist nicht "optimal", sondern "empfohlen". Es wird also empfohlen, diesen Algorithmus zu implementieren/anzubieten. Während Alg 13 implementiert/angeboten werden muss. Eben weil er derzeit sehr viel verwendet wird und deswegen ein Nameserver, der ihn nicht implementiert hat, für viele Zonen DNSSEC nicht validieren könnte. Es wird ja auch empfohlen, Zonen die derzeit noch RSASHA1 oder RSASHA1-NSEC3-SHA1 verwenden auf ECDSAP256SHA256 umzustellen.

ED25519 hat diesem Algorithmus gegenüber zwar durchaus Vorteile, aber er ist derzeit noch nicht so verbreitet und nicht alle DNSSEC Validatoren unterstützen ihn bereits. Deswegen wird eben derzeit noch eher auf ECDSAP256SHA256 gesetzt.

Dennoch wäre es sicher eine gute Gelegenheit für netcup, wenn man jetzt sowieso schon an den Nameservern und DNSSEC rumschraubt, auch gleich ED25519 zu implementieren. Quasi als Investition in die Zukunft. Und es wird ja auch empfohlen ED25519 zu implementieren.

Für neue Schlüsselpaare zur Verwendung mit SSH benutze ich mit putty mittlerweile auch bereits ED25519.