DNSSEC und DANE per default!

  • Sofern man selbst SSHFP-Einträge im CCP für die dort verwalteten Domänen anlegt, sieht man die key fingerprints dort ja auch; verwendet man nicht-öffentliche Einträge/eigene Nameserver, lassen sich diese zumindest explizit manuell abfragen:

    und wo soll ich die keys herholen die ich da eintrage, ich generiere die ja nicht sondern Netcup (also bei den servern von bspw webhosting)

    Und die PubKeys der User bekommst du über unsichere Kanäle zugesandt, die du dann blind akzeptierst? Ich denke nicht.

    zu ende lesen. es wurde gesagt:


    Somit ist da kein "sicherer Kanal" im Sinne von Vertraulichkeit nötig.


    ich hab mal markiert.

    solange du sicherstellen kannst, dass die information echt ist bspw signatur oder telefongespräch was weiß ich, braucht man keine geheimhaltung bsow verschlüsselung, da es nur um pubkeys geht.



    die Idee dass Netcup bei seinen eigenen SSH instanzen den serverpubkey mal irgendwo fallen lässt wäre ja schon geil da man selbst ohne SSHFP zumindest manuell nachschauen kann und im ccp hat man ja HTTPS also (zumindest einigermaßen) einen sicheren kanal


    Fehlt nur noch ein Admin, der sich genauso verhält und jeden unsicher übertragenen PubKey blind akzeptiert

    kriegst du bei den meisten hostern mit SSH Support, da man die server pubkeys nicht zu sehen bekommt

  • Sofern man selbst SSHFP-Einträge im CCP für die dort verwalteten Domänen anlegt, sieht man die key fingerprints dort ja auch

    und wo soll ich die keys herholen die ich da eintrage, ich generiere die ja nicht sondern Netcup (also bei den servern von bspw webhosting)

    Die Schlüssel werden in der Regel mit ssh-keygen generiert. Und normalerweise sollte man darauf achten, dass man das zugehörige Schlüsselpaar selbst erzeugt (nur der öffentliche Schlüssel kommt auf den Server, der private ist wie ein Augapfel zu hüten und niemals aus der Hand zu geben!) und sich ausschließlich darüber und nicht über die Eingabe eines Passworts mittels ssh einloggen kann, unabhängig vom bei Netcup gebuchten Angebot.

  • Die Schlüssel werden in der Regel mit ssh-keygen generiert. Und normalerweise sollte man darauf achten, dass man das zugehörige Schlüsselpaar selbst erzeugt […]

    On second thought… Hier geht es natürlich um die Host-Keys, welche, sofern sich mehre Nutzer bei einem Webhosting-Angebot denselben Rechner teilen, durchaus fest vorgegeben sein können. Allerdings ist es in diesem Fall in der Regel dennoch möglich, mittels ssh-keygen die SSHFP-Einträge auf Basis des/der öffentlichen Schlüssel(s) generieren zu lassen.

  • Hallo, ich habe ersucht für meine .de .ch und meine .eu Domain DNSSEC Records on Cloudflare bei netcup ins DMS einzutragen

    Ergebnis: die ch. domains akzeptierten den Record erst gar nicht die .de domains waren problemlos die .eu musste ich mehrfach versuchen.


    Anschliessend funktionierten auf allen Domänen weder der Mailempfang noch Versand.

    Bei der DNS Auflösung gab es bei einer .de Domian keine Probleme bei den anderen Domainen waren auch alle server erreichbar via ssh .


    Frage was würdet ihr zur Absicherung empfehlen DANE oder DNSSEC? Cloudfare wurde mir empfohlen habr ihr ggf. eien bessere Empfehlung?

    Gruss

    Uli

  • Frage was würdet ihr zur Absicherung empfehlen DANE oder DNSSEC?

    Antwort: "Und", nicht "oder":

    Dependencies for DANE

    Although it is not a strict technical dependency, it goes without saying that one cannot have DANE without having DNSSEC. Publishing all of this verification information for security purposes is a waste of time if the publishing mechanism itself (DNS) is not secured. Without DNSSEC, an attacker who spoofed the web site’s certificate could just as easily spoof the TLSA record, rendering this second layer of checking useless.

    Anschliessend funktionierten auf allen Domänen weder der Mailempfang noch Versand.

    Tooltips:

  • DANKE m_ueberall für deienn Kommentar würdest Du auch cloudflare oder eienn anderen Anbieter empfehlen?

    Zum jetzigen Zeitpunkt kann ich noch keine eigene Empfehlung abgeben, da ich selbst erst Tests durchführen kann/will, wenn ich die existierenden OPENPGPKEY­/SMIMEA-DNS-Einträge für eigene Domänen via DNSControl zu einem anderen Dienstleister übertragen kann (diese Funktionalität fehlt dem Hilfswerkzeug momentan noch) …

    Es gibt hier aber mehrere Nutzer, die zu verschiedenen Anbietern gewechselt und laut eigener Aussage damit zufrieden sind (eine Forensuche nach DNS, AnyCast und/oder DNSSEC sollte ein paar Namen ausspucken).