DNSSEC bei EU Domain funktioniert nicht

    Hallo,


    ich habe eine .eu Domain bei Netcup registriert und an deSEC delegiert. Die DNSSEC-Daten von deSEC habe ich bei Netcup eingetragen.


    Aber es funktioniert nicht. https://dnssec-analyzer.verisignlabs.com/ sagt:


    No DS records found for <domain>.eu in the eu zone


    So kommt der Eintrag bei deSEC raus:


    257 3 13 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==


    So habe ich ihn bei Netcup eingetragen:

    Flags: KSK (257)
    Algorithmus: ECDSAP256SHA256 (13)

    Öffentlicher Schlüssel: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==

    Was habe ich falsch gemacht?

    Ich denke das ist "normal". Habe ich bei meinen de-Domains derzeit auch. Es ist im Zweifelsfall auch nur eine Warnung und das unten bei deinem Link verlinkte dnsviz zeigt denn zwar auch eine Warnung, bewertet aber alles als sicher.


    Edit: Ich glaube es hängt damit zusammen, dass deSEC im CDS zwei Werte anzeigt, netcup aber nur einen DS. Zu der Geschichte gibt es beu deSEC auch einen Beitrag: https://talk.desec.io/t/dnssec-warnings-for-my-domain/1126

    Was soll das heißen, das ist normal?


    No DS records found for <domain>.eu in the eu zone


    Bedeutet doch, dass es keine Records gibt. Also stimmt doch etwas nicht.


    Bei meinen .de Domains wird angezeigt:

    Found 1 DS records for <domain>.de in the de zone


    Da zeigt dnsviz auch keinerlei Warnings.

    Bei meinen de-Domains schon ... Das hatte ich zunächst auch in der Beta für das neue DNS bemängelt und bin dabei auf den von mir verlinkten Beitrag gestossen, wo das dann ziemlich weit unten im Thread (Beitrag 6 von "peter") erklärt wird.

    Hmm, ja, so ist das umindest bei mir und meinen de-Domains auch. Ein Gutes hat das immerhin, sofern man das als gut bezeichnn kann. Ich habe entdeckt, dass meine wichtigste de-Domain bei netcup als nicht sicher getestet wird dnsviz zeigt mehrere Fehler und Warnings. Und nein, das war nicht schon immer so. Andere kommen mit der einen Warning davon. So langsam ist hier Land unter! Die Baustellen gehen schneller auf als ich sie bearbeiten kann :cursing: .


    Kann man bei netcup bei DNSSEC tatsächlich DS setzen? Ich sehe da nur das DNSKEY Format.Ich habe mal alles neu gespeichert und warte ein wenig. Wenn sich das nicht bis morgen fängt, dann muss ich ein paar Domains zu IN*X umziehen, höhere Kosten hin oder her. Öhm, stop, gerade getestet, da zeigt dnsviz 2 Erros und 3 Warnings, auch nicht wirklich besser. Aber wenigstens sagt da Verisign "alles ok". Donald, lass deine Finger aus dem DNS! :D :D ;(. Aber zum Glück gilt ja: Wo wir sind klappt nichts! Aber wir können nicht überall sein!

    Bei .de Domains musste ich noch nie irgendwas zusätzlich bei deSEC eintragen, nur hier bei Netcup. So wie es bei deSEC auch steht:

    You also need to forward the following DNSSEC information to your domain provider. The exact steps depend on your provider


    Bei .eu ist das anders oder wie? Warum soll ich bei deSEC Informationen eintragen, die ich von deSEC mitgeteilt bekomme? Das kapier ich nicht.


    Ich kann da auch nur einen DS-Eintrag für eine Subdomain anlegen:

    DS RRset cannot have empty subname.

    Das will ich doch aber gar nicht.

    Hi, ich habe exakt das selbe Problem mit meiner .eu Domain die ich gestern registriert habe. Habe bei netcup den DNSKEY von deSEC eingetragen, der wird vom Verisign-Tester auch gefunden. Ein DS-Record wird vom Verisign Tester nicht gefunden. Im eurid-Whois und bei myeurid wird angezeigt, dass DNSSEC nicht aktiv ist. Ich habe noch nie einen DS-Record manuell setzen müssen im DNS, es war lediglich nötig den DS/DNSKEY beim Registrar einzutragen. Scheint wohl ein aktuelles Problem zu sein, hatte das Problem nie bei früher registrierten .de/.eu Domains.

    Habe hier auch das gleiche Problem, aber mit einer über netcup neu registrierten .de Domain. Das DNS Management läuft über Cloudflare und ich kann dort seit Tagen das DNSSEC Setup nicht abschließen. Der DNSSEC Analyzer von Verisign sagt auch hier, dass der DS Record fehlt. Es scheint also ein Fehler seitens netcup vorzuliegen?

    Der Support hat mir geantwortet, dass DNSSEC kaputt ist.


    Quote

    Aktuell möchte ich Ihnen von der Nutzung von DNSSEC abraten, solange Sie unsere Nameserver verwenden, da dies nicht stabil läuft.


    Das verstehe ich allerdings nicht, denn ich verwende ja eben gerade nicht die Netcup Nameserver :/ Netcup muss lediglich den DS-Record in der .eu Zone hinterlegen.

    Quote from sudoNoSleep

    Das wäre mir auch neu, da ich Cloudflare als NS-Server auf meiner Domain hinterlegt habe und noch nie ein einziges Problem mit DNSSEC hatte.

    Ja, das ist wohl wirklich neu. Bis vor einer Woche hätte ich das selbst so schreiben können, nur "Cloudflare" durch "deSEC" ersetzt. Mittlerweile hat die Domain meiner Server, die bei netcup registriert ist und seit vielen Jahren völlig problemfrei die Nameserver von deSEC nutzt, bei dnsviz & Co mehrere Fehler und Warnungen. Diese Fehler sind offenbar schwerwiegend genug, dass Resolver, auch meine eigenen, bei "dig" kein ad-Flag mehr anzeigen. Sprich, DNSSEC nicht vorhanden oder kaputt. Immerhin funktioniert noch alles soweit, dass sich Resolver wenigstens nicht weigern, die DNS-Records auszuliefern.


    Ich bin derzeit am überlegen, zumindest diese Domain, zu der auch mei Mailserver gehört zu einem anderen Anbieter umzuziehen, was aber sicher auch kein schmerz- und unterbrechungsfreier Prozess werden wird.


    Dass netcup in den derzeitigen DNS-Geschichte noch großartigen Aufwand reinstecken wird, davon gehe ich bis auf Weiteres nicht aus. Selbst der Support empfiehlt ja mttlerweile schon, DNSSEC nicht zu benutzen, wie ich in den letzten Tagen irgendwo hier im Forum gelesen habe.


    Ich werde mich übers Wochenende mal erkundigen, was denn noch an Daten fehlt um die Betaphase der neuen DNS-Verwaltung erfolgreich abzuschliessen und dann ggf versuchen, die noch fehlenden notwendigen Testdaten zu liefern. Das, was ich normalerweise so nutze, habe ich schon seit längerem durch und finde da nichts mehr. Natürlich ist bei meiner Testdomain DNSSEC aktiviert und dnsviz.net hat daran erfreulicherweise auch (immer noch) nichts auszusetzen. Keine Fehler, keine Warnungen, alles im grünen Bereich, was ich bei der derzeitigen DNS-Verwaltung ehrlich gesagt seit Jahren nicht gesehen habe. Ohne Warnungen unter "Notices" ging es da nie ab und gelegentlich war denn auch DNSSEC komplett kaputt. Also noch schlimmer kaputt als derzeit meine Serverdomain.


    So ganz ohne Warnungen bei dnsviz.net kommen übrigens auch meine Domains bei IN*X nicht weg. Da habe ich denn auch gestern Abend mal sämtliche Schlüssel löschen und neu generieren lassen, geholfen hat es nichts. Die einzigen Domains unter meiner Kontrolle, die derzeit ohne Warnungen und Fehler die Tessts bei dnsviz.net absolvieren, sind meine Testdomain aus der Beta bei netcup und die Domains eines Bekannten bei Gr33nmark (D*main-Off*nsive), die auch deren Nameserver benutzen.


    Eine benutzt dort auch die deSEC Nameserver und bekommt von dnsviz auch eine Warnung unter "Notices" mit auf den Weg.


    Quote

    xxxxxxxx.de/CDS: The contents of the DS RRset are inconsistent with those of the CDS RRset. See RFC 7344, Sec. 3, RFC 7344, Sec. 5.

    Das ist aber völlig harmlos und übrigens die selbe Warnung, die auch meine noch funktionierenden Domains bei netcup mit deSEC Nameservern bekommen. netcup (DS) hat grundsätzlich immer nur einen Eintrag (Digest Type 2), was absolut zulässig ist. deSEC (CDS) dagegen grundsätzlich zwei (Digest Type 2 und 4). Der eine (Digest Type 2) stimmt überein, der andere fehlt eben bei netcup und anderen, der wird aber auch nicht zwingend verlangt.

    Könnte sich da mal bitte jemand von Netcup dazu hier äußern? Wann wird das Problem behoben?


    Dass die eigenen Nameserver kaputt sind, lässt sich ja einfach umgehen, indem man seine Domain zu einem anderen Provider delegiert. Aber der DS-Eintrag in der übergeordneten Zone muss nun mal vom Registrar vorgenommen werden. Und dass das nicht funktioniert, ist meines Erachtens ein unhaltbarer Zustand.

    Mir hat der Support nur die Standard-Antwort gegeben, obwohl ich explizit auf diesen Thread verwiesen habe:


    Quote

    Da Sie Ihre DNS-Einträge erst kürzlich geändert haben, möchten wir Sie darauf hinweisen, dass solche Änderungen bis zu 48 Stunden benötigen können, um weltweit vollständig propagiert zu sein.

    Bitte haben Sie daher noch etwas Geduld, bevor die Änderungen überall wirksam sind.

    Bei mir lief DNSSEC bei einer bestehenden Domain problemlos. Vor ein paar Tagen ist mir allerdings aufgefallen, dass es zu einem Fehler kommt:
    "No DS records found for XXXXXXXXX.de in the de zone".


    Ich hab DNSSEC nochmal deaktiviert und nach etwas Wartezeit wieder aktiviert. Ich warte nochmal etwas ab und wende mich dann auch an den Support.