Moin,
mir fehlen bislang einige (meines Erachtens teils essenzielle) Features in der DNS-Verwaltung im CCP. Ich schreibe hier ausschließlich aus der Perspektive "nackte Domain über Netcup registriert bzw. zu Netcup transferiert", ohne irgendwelche zusätzlichen Netcup-Produkte, die möglicherweise noch am DNS dranhängen könnten.
Essenzielle Features, um Migrationen ohne Downtime zu ermöglichen:
- Möglichkeit, die Netcup-Nameserver schon vor dem eigentlichen Domaintransfer so weit zu konfigurieren, dass beim Domaintransfer wirklich nur noch die NS-Records in der TLD-Zone geändert werden müssen (inkl. DNSSEC-Signaturen, nur halt ohne die entsprechenden Einträge in der TLD-Zone). Um Missbrauch vorzubeugen, könnte man z.B. den eigentlichen Domaintransfer zeitlich hinter den Klick auf den "kostenpflichtig bestellen"-Button verlagern. Ohne dieses Feature kann man Domains nicht ohne Downtime zu Netcup umziehen.
- Möglichkeit, schon vor der Umstellung einer Domain von den Netcup-Nameservern auf eigene/externe Nameserver zusätzliche DS-Records und Glue Records in der jeweiligen TLD-Zone eintragen zu lassen.
- Ne dreckige und unvollständige Alternative zu den beiden o.g. Features wäre u.U. noch die Möglichkeit, den Netcup-Nameservern für eine Domain eigene Private Keys als DNSSEC-KSK zu geben, bzw. den Private Key des KSK im CCP-Webinterface herunterladen zu können, wenn man von den Netcup-Nameservern auf externe Nameserver umstellen will.
Mit "Downtime" ist hier gemeint "Hosts im Internet behandeln die Domain als nicht existent". Beispiel: Wenn im Rahmen einer eines Domainumzugs auf die Netcup-Nameserver die DNSSEC-Signaturkette der Zone kaputtgeht, weil man nicht vorhersehen konnte welchen DNSKEY die Netcup-Nameserver als KSK für die Zone erzeugen/verwenden werden, dann kriegt man für Einträge in der Zone von validierenden DNS-Resolvern nur noch ein "SERVFAIL" zurück. Wenn ein Mailserver versucht, an so eine Domain Emails auszuliefern, dann wird er die Emails nicht zwischenspeichern und warten bis die Domain wieder verfügbar ist, sondern die Emails schlicht verwerfen, und dem Absender ne Fehlermeldung à la "Die Domain gibt’s nicht" schicken. Sowas macht natürlich besonders viel Freude, wenn Nutzer von Emailadressen unter dieser Domain z.B. auf eine größere Anzahl Mailinglisten abonniert sind. Aber selbst wenn da nur ein einzelner Nutzer dranhängt, risikiert man immer noch ne Downtime von 24h, denn bei vielen DNS-Anbietern kann man die TTL des SOA-Records und der ganzen DNSSEC-Einträge nicht beeinflussen - da steht öfter mal ein Wert von irgendwo zwischen einer Stunde und einem Tag drin. Daher ist das IMHO auch klar ein essenzielles Feature, und nicht bloß ne "nice to have"-Geschichte.
Ansonsten hätte ich auch noch ein paar "Nice-to-have"-Feature-Vorschläge:
- Import und Export von BIND-Zonefiles (damit man sich nicht für jeden einzelnen DNS-Record im Webinterface dumm und dämlich klicken muss)
- Unterstützung für Dynamic Updates (abgesichert per TSIG- oder SIG0-Keys, optimalerweise granulierbar bis runter zum einzelnen Record/Record-Typen, so wie das bei Bind z.B. mit "update-policy" möglich ist)
- Möglichkeit, einzelne Records für DynDNS über HTTP(S) zu verwenden, wenn man die Netcup-Nameserver nutzt
- Möglichkeit, die Netcup-Nameserver als Slaves zu benutzen (damit man nicht extra nen zweiten Server nur als Fallback-Nameserver braucht, wenn man sein seine Zone komplett selber verwalten möchte)
- Möglichkeit, den/die DNSSEC-Signaturalgorithmen für die eigene Zone auszuwählen, wenn man die Netcup-Nameserver nutzt (optimalerweise inkl. der Möglichkeit, eigene Private Keys zu konfigurieren)
- Für die Hardcore-Nerds: Möglichkeit, die NSEC3-Parameter zu konfigurieren