Öffentliche Beta-Phase für DNSSEC gestartet

  • Liebe Kundinnen und Kunden,



    heute ist die öffentliche Beta-Phase für DNSSEC auf unseren Nameservern gestartet. Mehr Details dazu sind in unseren News zu finden:


    Beta-Phase von DNSSEC gestartet « netcup news


    Trotz intensiver interner Tests, können während der Beta-Phase Fehler nicht ausgeschlossen werden. Wir bitten daher darum Fehler hier im Forum zu melden, sollten Sie welche gefunden haben.


    Vielen Dank schon jetzt an jeden Beta-Tester.



    Mit freundlichen Grüßen


    Felix Preuß

  • Auch für .me? Konnte ich gerade aktivieren :)


    Edith: ah nö, nach dem Speichern ist der Hacken wieder raus. Eventuell kann man das Feld deaktivieren bei nicht unterstützen Endungen? :thumbup:
    Edith2: euer alert() dialog nervt a bissal :whistling:

  • Bei einer .at Domain ist das Hakerl danach auch sofort wieder weg, obwohl vorher ein alert('DNSSEC activate') erscheint. Dort sollte es doch funktionieren?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Bei meiner .eu Domain fehlt die Zeile mit der DNSSEC Funktion.
    Bei .at und .de ist sie vorhanden. Hätte allerdings am liebsten mit der .eu getestet...


    Frage: Ist geplant in Zukunft auch TLSA Records zu unterstützen?

  • Ich habe Probleme bei aktivem DNSSEC Wildcard-Subdomains aufzurufen. Die Hauptdomain funktioniert ohne Probleme, Subdomains über Wildcard (*.xyz.de) laufen bei mir aber nicht mehr, dig meldet SERVFAIL. Funktionieren Wildcards mit DNSSEC nicht?


    Edit: Es lag wohl an meinem Setup hier im Netzwerk, pfSense hatte sich irgendwo verschluckt - jetzt geht es plötzlich (?)

    • Offizieller Beitrag

    Vielen Dank für die aktive Teilnahme.



    * Wildcards funktionieren mit unter noch nicht. Hier forschen wir noch nach.


    * fuerni mit Ihrer .eu Domain funktioniert DNSSEC momentan nicht, da Sie nicht direkt über die Eurid registriert wurde. Wenden Sie sich bitte an den Support, falls wir das ändern sollen.


    * Denken Sie bitte daran, dass DNSSEC erst nachdem reaload der Zonen in den Nameservern der Registrare verfügbar ist. Das kann je nach Topleveldomain ca. 2 Stunden dauern.

  • Hallo,


    ich kann DNSSEC bei der .de Domain bei der ich es Testen wollte nicht aktivieren. Beim Klick auf Speichern verschwindet der Haken wieder.
    Gestern trat das Problem auch schon auf, da erschien jedoch noch die Meldung, dass DNSSEC aktiviert wurde, welche nun nicht mehr erscheint.
    Die Domain enthält einen Wildcard, könnt das die Ursache sein?

  • Ich wollte es heute nochmals für eine .at Domain aktivieren, der Haken verschwindet sofort wieder. Laut den diversen Analysetools ist der DNSKEY für die Domain aber bereits gesetzt, die RRSIGs fehlen aber noch. Vermutlich heißt es weiterhin warten, aber irgendwie verwirrt es mich als Kunde gerade. Der Status ist nicht wirklich transparent.


    Update: Auch nach drei Stunden wirft DNSViz nur Fehler aus.



    MfG Christian


    PS: Wildcard für A-RR existiert dort auch. Soll ich den zum Test einmal löschen? Ich brauche eh nur "www".

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Kein Problem, es eilt nicht. Ist eh nur eine Testdomain ohne richtigem Inhalt. Danke für die Rückmeldung! :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    • Offizieller Beitrag

    Hallo WDJac,
    bitte aktualisieren Sie die Signatur ihrer Zone indem Sie erneut die Zone speichern. Dann sollte nach dem nächsten Reload der Zone Wildcards erreichbar sein. Das dauert ca. 2 Stunden.



    Das Problem von fallobst und johnassel wurde behoben, Sie haben eine Mail von unserem Support erhalten.


    Die Sache von killerbees19 wird noch weiter analysiert.

    • Offizieller Beitrag

    Hallo liebe Beta Tester,


    nochmals vielen Dank für Ihre Teilnahme und die damit verbundene Mitarbeit bei der Verbesserung unserer Produkte.


    Zum Stand der Dinge.


    Behobene Probleme*

    • Der Wechsel von externen auf interne Nameserver schlug bei .de-Domains fehl.
    • Wildcard Subdomains waren nicht erreichbar.
    • NSEC3 funktionierte in manchen Fällen nicht.
    • Records mit Unterstrich im Hostnamen wurden nicht signiert.
    • Der Upload des ZSK (Zone Signing Key, 256) zur root Zone ist optional, daher wird zukünftig nur der KSK (Key Signing Key, 257) zur Registry übertragen. Dies passiert für Sie im Hintergrund.
    • Manche AAAA Records wurden nicht korrekt signiert. Speichern Sie die Zone neu für ein update.
    • .at Domains ließen sich nicht immer updaten (siehe Probleme von killerbees19)


    Bekannte Probleme

    • Momentan sind keine Probleme bekannt :) , lassen Sie aber nach wie vor Vorsicht walten.



    Sind Ihnen Fehler mit DNSSEC aufgefallen?
    *Treten bei Ihnen noch Probleme auf, obwohl sie schon behoben gemeldet sind?
    Bitte melden Sie sich gerne hierzu.


    Eine schnelle Lösung für Probleme ist oft - das speichern der Zone mit einer Änderung. Dabei wird eine erneute Signatur der Zone angestoßen.

  • .at Domains ließen sich nicht immer updaten (siehe Probleme von killerbees19)


    :thumbup: (& thx!)


    Code
    nserver:        root-dns.netcup.net
    nserver:        second-dns.netcup.net
    nserver:        third-dns.netcup.net
    changed:        20160421 15:09:48
    DNSSEC:         Signed


    8o



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Bei mir kommt es mit Wildcards zu einem seltsamen Problem,


    Ich habe 3 Domains, Domain A, B und C haben die selben "Grundeinstellungen" im DNS, Domain A hat noch zusätzliche DNS Einstellungen. DNSSEC ist bei allen aktiviert.
    Domain B und C funktionieren tadellos es gibt keine Probleme zu beanstanden.
    Jedoch funktioniert bei Domain A die Wildcard Funktion nicht.


    Das Problem besteht jedoch nur unter bestimmten Umständen mit Domain A.
    Wildcards funktionieren:
    - im Uni Netzwerk von meinem Handy
    - im mobilen Netzwerk von meinem Handy
    - gemäß der Angabe von DNS Resolvern im Internet


    Wildcards funktionieren nicht:
    - von meinem PC & Laptop Zuhause
    - von meinem Handy Zuhause im WLAN
    - Edit: von meinem Server aus (nicht bei Netcup gehostet)


    Nochmals zur Erinnerung, das betrifft ausschließlich meine Domain A.
    Domain B und C funktionieren auch über mein Internet zuhause.


    Folgende Lösungsversuche haben keinerlei Auswirkung gehabt:
    - das Verwenden der Google DNS Server
    - Löschen des Router/Windows/Google Chrome DNS Caches (ich rufe sowieso immer eine Zufällig eingegebene Subdomain auf)
    - das Verwenden eines anderen Webbrowers, "ping" Befehl kann auch keine Subdomain auflösen
    - aktualisieren der DNS Zone (das letzte mal gestern getan)
    - Edit: ein VPN von Zuhause aus bringt auch nichts


    Von Teamspeak bekomme ich folgende (nichts aussagende) Fehlermeldung zur Auflösung:

    Code
    23.04.2016 14:12:34	TSDNS	Warning	 getaddrinfo error: Dies ist normalerweise ein zeitweiliger Fehler bei der Aufl�sung von Hostnamen. Grund ist, dass der lokale Server keine R�ckmeldung vom autorisierenden Server erhalten hat.


    Von Google Chrome (neuste Version): ERR_NAME_RESOLUTION_FAILED


    Der einzige Unterschied zwischen Domain A und Domain B/C sind, dass A 3. SRV Einträge hat und dazu 2 CNAME Einträge.
    Edit: Domain A ist auch meine älteste Domain und mit der bin zu Netcup umgezogen von einem anderen Provider, B/C sind direkt bei Netcup registriert worden

    Mein ISP ist übrigens Kabel Deutschland, aber da die Google DNS Server nicht helfen, lässt sich das ja ausschließen?
    Da es mit meinem Android 5 Handy nur zuhause im Internet nicht geht lässt sich auch das Betriebssystem ausschließen.


    Wenn jemand Vorschläge hat was ich noch testen kann immer her damit, ich vermute die SRV Einträge könnten schuld sein.
    Aber selbst das macht keinen Sinn, da es in anderen Netzwerken geht. Ich werde Testweise einen SRV Eintrag bei Domain B erstellen.
    Edit: SRV Eintrag macht kein Unterschied, Domain B weiterhin erreichbar





    Mit freundlichen Grüßen,
    MrKrabat


    PS: Bevor die Frage kommt, vor dem aktivieren von DNSSEC funktionierten die DNS Einstellungen selbstverständlich.

    • Offizieller Beitrag

    Hallo MrKrabat,


    danke für Ihr Feedback.


    Es gab letzte Woche noch Probleme mit Unterstrichen in Hostnames. Möchten Sie DNSSEC für Ihre Domain einmal deaktivieren und wieder aktiveren? Oder etwas an der Zone ändern und dann die zone speichern. Dann wird die Zone in den nächsten 5 Minuten neu signiert. Vielleicht löst das die Problematik schon.


    Das es an der einen Stelle funktioniert und an der anderen nicht, kann daran liegen ob der Resolver DNSSEC-Fähig ist oder nicht.




    KB19:D

  • DNSSEC deaktivieren und aktivieren hat keine Änderung gebracht.


    Ich habe heute nochmal Resolver Tests gemacht,
    mein Handy ist nicht DNSSEC fähig, mein PC schon.


    Das ändert aber nichts daran, dass ich Wildcard Subdomains NUR bei Domain A nicht auflösen kann.
    Bei Domain B und C gehen Wildcard Subdomains.


    Bei mir (Kabel Deutschland) und einem Freund (Telekom) besteht das Problem mit Domain A. Ebenfalls mit Google DNS Server oder VPN geht es nicht.
    Im mobilen Netzwerk (T-Mobile) und im Uni-Netzwerk gehen wildcard Subdomains hingegen.


    Warum aber lassen sich wildcard Subdomains von Domain B und C auflösen aber von Domain A nicht?
    Es sind keine Sonderzeichen enthalten in Domain/Subdomain.


    Ich hoffe ich konnte damit die Problematik nochmal verdeutlichen :)

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip