DNSSEC Algorithmus 13 für .com-Domains

  • Ich habe heute versucht, für eine bei Cloudflare verwendeten .com-Domain DNSSEC zu aktivieren. Leider war mir das nicht möglich, da der von Cloudflare bevorzugte Algorithmus 13 ("ECDSA Curve P-256 with SHA-256") bei netcup nicht unterstützt wird. Netcup kann nur Algorithmen 3,5,6,7,8,10,12.


    Ich möchte mit diesem Thema erstens auf dieses Problem hinweisen und andererseits auch die Upvotes der Community einsammeln. Wenn auch bei anderen hier Interesse besteht, wird der fehlende Algorithmus eventuell auch bei netcup irgendwann verfügbar sein. Ich bin gerne für eure Kommentare offen, evtl. kann ja auch ein Mitarbeiter aufklären, wieso Algo. 13 bis jetzt nicht dabei ist.


    Mehr Details im Cloudflare-Wiki: https://support.cloudflare.com…n-Cloudflare-DNS#nodnssec

  • ich durchschaue hier etwas nicht, Du hast eine .com-Domain sagen wir example.com bei netcup registriert, verwendest die DNS-Server von netcup und hast diese bei Cloudflare in Verwendung, sprich z.B. http://www.example.com ist bei Cloudflare gehostet?:/

    oder wie darf ich das verstehen?

    ein besserer Algortithmus, soferne die anderen denn schlechter sind, kann sicher nicht schaden;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Elliptic Curve DSA zu unterstützen, kann kein Schaden sein. Hier generelle Infos dazu: https://de.wikipedia.org/wiki/Elliptic_Curve_DSA.

    Hier eine Liste der DNSSEC-Algorithmenliste bei IANA: https://www.iana.org/assignmen…dns-sec-alg-numbers.xhtml

    Anzumerken wäre, dass Algorithmus 13 basierend auf RFC6605 momentan noch „standards track“, aber gerade nicht „proposed standard“ ist.

    Trotzdem ist das Anliegen unterstützenswert - ich geb einmal einen Daumen rauf.


    Was mir nicht klar ist, ist, dass für .eu etwa im CCP sehr wohl 3,5,6,7,8,10,13,14 unterstützt werden. Warum sollte das bei .com nicht funktionieren?

    https://www.cloudflare.com/dns/dnssec/ecdsa-and-dnssec/

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Netcup-Gutscheine: https://hosting-groupie.de/▓▒░

    ░▒▓Educom Invites: http://bit.ly/3792TX9▓▒░

  • oder wie darf ich das verstehen?

    Domain ist bei netcup registriert.

    DNS-Zone der Domain wird bei Cloudflare verwaltet.

    Cloudflare DNS-Server sind bei netcup als authoritative Nameserver eingetragen.

    Cloudflare sagt mir: Um DNSSEC zu machen, trage die folgenden Werte bei deinem Registrar ein: [..]

    Netcup verwaltet als Registrar die DNSSEC Records, unterstützen aber den Algo. nicht, der von Cloudflare zur Signierung genutzt wird.

  • Domain ist bei netcup registriert.

    DNS-Zone der Domain wird bei Cloudflare verwaltet.

    Cloudflare DNS-Server sind bei netcup als authoritative Nameserver eingetragen.

    Cloudflare sagt mir: Um DNSSEC zu machen, trage die folgenden Werte bei deinem Registrar ein: [..]

    Netcup verwaltet als Registrar die DNSSEC Records, unterstützen aber den Algo. nicht, der von Cloudflare zur Signierung genutzt wird.

    Mangels .com bei nc kann ich nur anhand meiner .eu antworten: Das Eintragen von autoritativen Nameservern unter Verwendung von DNSSEC steht jedenfalls bei .eu auch mit Algo 13/14 zur Verfügung. D.h. die Nameserver unterstützen das grundsätzlich. .com und CF unterstützten es auch.

    Mail an Support? Möglicherweise hat man die Einführung auch nur verschoben, weil jetzt ohnehin das neue CCP hätte starten sollen...

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Netcup-Gutscheine: https://hosting-groupie.de/▓▒░

    ░▒▓Educom Invites: http://bit.ly/3792TX9▓▒░

  • Hallo janxb ,


    gerne haben wir Ihrem Wunsch entsprochen und die Algorithmen 13 und 14 für .com Domains aktiviert.


    Die Algorithmen werden pro Topleveldomain festgelegt, da jede Registry unterschiedliche Algorithmen unterstützt.


    Zudem sind die Algorithmen 13 und 14 jetzt auch für alle Topleveldomains verfügbar mit dsData, die es bislang nicht aktiviert hatten.

    Siehe netcup Wiki.

  • Echt klasse, dass es so schnell umgesetzt wurde. Das ist es, was ich so sehr an netcup liebe.

    Ich wollt gerade sagen: lange bitten muss bei solchen Dingen aber nicht +1

    Danke an alle Beteiligten an dem Thread!

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Netcup-Gutscheine: https://hosting-groupie.de/▓▒░

    ░▒▓Educom Invites: http://bit.ly/3792TX9▓▒░

  • Ginge bei der Gelegenheit auch gleich 15 und 16? Ich muss gestehen, ich bin ein großer Fan von Ed25519 :P

    Siehst Du hier jetzt im Jahr 2018 schon einen praktischen Einsatz-Zweck?

    Ich orientiere mich bei der Verwendung von DNSSEC Algorithmen gerne am Verbreitungsgrad der unterschiedlichen BIND-Versionen und deren Fähigkeiten. Für Ed25519 würde man Bind 9.12 benötigen, der ist denke ich in keiner Stable-Distribution aktuell bereits enthalten. Somit wird es bis zu einer praktischen Relevanz vermutlich noch mindestens 2 Jahre brauchen, für eine solide Verbreitung eher noch länger. Bis dahin müsste man zumindest zwei Algorithmen parallel verwenden, da #15 von keinem Resolver verstanden werden wird.

  • Vielen Dank für die netten Worte. Es ist schön so nette Kunden zu haben.


    Ginge bei der Gelegenheit auch gleich 15 und 16? Ich muss gestehen, ich bin ein großer Fan von Ed25519

    Aktuell werden nach meinen Informationen die Algorithmen nur von der Registry für .ch und .li Domains unterstützt. Wir können nur anbieten was die jeweilige Registry auch unterstützt.

  • Vielen Dank für die netten Worte. Es ist schön so nette Kunden zu haben.


    Aktuell werden nach meinen Informationen die Algorithmen nur von der Registry für .ch und .li Domains unterstützt. Wir können nur anbieten was die jeweilige Registry auch unterstützt.

    CentralNIC (die einige der "größeren" gTLDs betreiben) unterstützen wohl auch alle Algorithmen, inkl. 15 und 16:
    https://twitter.com/GavinBrown/status/1062448026717949953
    Allerdings war der Support für Algorithmus 15 (ed25519) zumindest in BIND bis vor Kurzem (< 9.13.4) kaputt und in der Praxis nicht benutzbar. Und Algorithmus 16 (ed448) wird zumindest von BIND bis heute nicht unterstützt (zumindest nicht um damit Einträge zu signieren).