Zwei Wünsche: TLS 1.2 & Erweiterung der DNS record types

  • Ich hätte zwei Wünsche an Netcup:


    1. Ich habe heute mal die Forumseite, CCP und VCP bei http://www.ssllabs.com getestet. Ergebnisse (amerikanische Notensystem):
    - Forum: Note B (Link zum Test)
    - CCP: Note C (Link zum Test)
    - VCP: Note B (Link zum Test)


    Ich hoffe mal, dass die Links noch funktionieren, ansonsten den Test einfach noch mal ausführen.


    Ich würde es schön finden, wenn Netcup diese Ergebnisse etwas verbessern könnte. Zumindest die Unterstützung von TLS 1.1 und 1.2 müsste man doch ohne Probleme aktivieren können. Unter Umständen wären vlt. auch einige Verbesserungen bei den unterstützten Cipher Suites möglich (gerade die CCP-Seite erlaubt ja recht schwache Möglichkeiten)
    Anregungen für Einstellungen gibt es z.B. auch hier: BetterCrypto.org


    2. Es wurde glaube ich zwar schon mal irgendwann vorgeschlagen, aber ich mache es in diesem Rahmen einfach noch mal ;)
    Ich würde mir ebenfalls eine Erweiterung der möglichen DNS record types wünschen. Zum Beispiel um SPF oder auch um die Möglichkeit zur Nutzung von DNSSEC (DNSKEY), ...


    Viele Grüße
    gemini

  • Guten Tag,



    wir haben die Verschlüsselung beim CCP eben optimiert. Vielen Dank für den Hinweis!


    Da unsere DNS-Verwaltung TXT-Records unterstützt, können Einträge wie SPF gesetzt werden. Das ist schon seit längerem so.



    Viele Grüße


    Felix Preuß

  • Sehr schön, dass die Verschlüsselung bereits optimiert wurde :thumbup:
    Die Erweiterung der Protokolle wäre jetzt noch schön ;)


    Zu den DNS record types:
    Natürlich kann man dafür auch die TXT-Records nehmen, so mache ich es aktuell auch, aber eigentlich ist zum Beispiel für SPF ein eigener Record vorgesehen. Siehe auch die Kritik bei Wikipedia:


    Zitat

    Obwohl SPF mittlerweile ein eigener DNS-Record-Typ zugewiesen wurde und die SPFv1-Spezifikation die Unterstützung dieses SPF-Record-Typs vorsieht, wird auch noch der DNS-Record-Typ TXT verwendet. So konkurriert SPF mit anderen TXT-Records um den begrenzten Platz in DNS-UDP-Antwortpaketen, was bei insgesamt zu großen TXT-Records eines DNS-Namens dazu führen kann, dass die UDP-Antwort auf eine TXT-Anfrage die vorhandenen TXT-Records nicht vollständig enthält. Das Problem wird sich mit zunehmendem Übergang auf den dedizierten SPF-Record gelöst haben.


    Aber wie im Titel ja bereits gesagt, es handelt sich nur um Wünsche ;)