Beiträge von [netcup] Johannes B.

    Guten Morgen janxb,


    Nameserver Einträge für eine Domain sind von unsereren Registries in der Anzahl beschränkt wenn Sie externe Nameserver hinterlegen möchten.
    Bei .de Domains sind maximal 5 Nameserver Einträge mit IPv4 und IPv6 Glue Records möglich.
    Bei .systems maximal sind maximal 3 Nameserver Einträge mit IPv4 Glue Records möglich.


    Ich weiß, dass einige unserer Kunden schon SPF Records verwenden. Diese werden bei der Eingabe auf syntaktische Korrektheit geprüft und im Anschluss von unseren Nameserver auf Validität. Sobald diese Prüfung erfolgreich war, erhalten Sie neben Ihrem DNS Eintrag im CCP in der Spalte "gültig" den Eintrag "yes". Dann wurde das Zonefile erfolgreich geschrieben. Während der Prüfung ist der Status "unknown", im Fehlerfall "no".


    NS Records für Subdomains bieten wir an. Für Sie gilt die gleiche Prüfung wie bei allen anderen Record Typen.



    Zusammenfassend lässt sich sagen:
    Ja, wir bieten die von Ihnen gefragten Record Typen für die Topleveldomains .de, .systems an.
    Die Records müssen syntaktisch korrekt und aus Sicht des Nameservers valide sein. Sollten solche Records nicht erfolgreich zu speichern sein, wenden Sie sich bitte wieder an unseren Support.

    @bernd@net2o.de: Prima, das freut mich zu hören. :)
    Für .com ist DNSSEC schon in Arbeit. Kann aber nicht sagen wann es soweit sein wird.


    recodex: Ihre Domain ist auch wieder korrekt signiert. Der SOA wurde nach der Signatur von unserem System geändert ohne die Zone neuzusignieren. Das ist jetzt behoben. :D



    Nun kann nun die führende Null bei TLSA Record Parametern weggelassen werden.
    Auch TLSA Records mit SHA512 sollten nun funktionieren.


    Herzlichen Dank für die vielen hilfreichen Hinweise zu DNSSEC. Das bringt uns wirklich weiter.


    Speichern Sie Ihre Zone neu um neue Signaturen zu erhalten, sollten sie auf Probleme stoßen.
    Unsere Software hat ein Update erhalten.



    Wem sind noch Probleme mit DNSSEC oder DANE bekannt momentan?





    :rolleyes:

    Hallo,


    der Screenshot des TLSA auf Facebook ist etwas irreführend. Ports sind nicht hard-coded.
    Wie es sich generell mit Wildcards verhält kann ich nicht sagen.


    Dane Testtool: DANE Validator by SIDN Labs
    Vorsicht, die Seite hat ein langen Cache und prüft nicht Live.


    Hier ein Bild eines Beispiels mit korrekten TLSA Recod der ein LetsEncrypt Zertifikat auf Port 443 publik macht:

    Hallo guest123,
    wir werden dieses Verfahren intern prüfen. Solange können Sie für Ihre Zone eigene Nameserver verwenden. Dann haben Sie die volle Kontrolle über Ihre Hashes in der Zone. Als nameserver mit DNSSEC kann ich persönlich PowerDNS empfehlen, dafür stellen wir auch schon ein Image bereit.

    In manchen Fällen werden TLSA Records nicht korrekt signiert.
    Wir haben dazu ein Update eingespielt das aber noch getestet wird.
    Konnten Sie schon erfolgreich TLSA records signieren?


    Zudem verwenden wir nun die abwärtskompatible Schreibweise mit zwei Stellen für die Parameter von TLSA Recods. Beispiel: 03 01 01 0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef

    Hallo killerbees19,


    danke für Ihre Nachricht.


    Bitte bedenken sie: Bei jedem aktivieren und deaktivieren wird ein neuer KSK und ZSK erzeugt. Die bestehenden KSK und ZSK verblieben im System für die doppelte TTL der Zone.
    In Zukunft können Kunden DNSSEC erst wieder aktiveren wenn die doppelte TTL der Zone vergangen ist, um dem vorzubeugen.


    Wenn Sie eine neue Signatur für die Zone haben möchten, reicht es die Zone einmal mit einer kleinen Änderung zu speichern. Dann wird Sie innerhalb von 5 Minuten neu signiert.

    Hallo MrKrabat,


    danke für Ihr Feedback.


    Es gab letzte Woche noch Probleme mit Unterstrichen in Hostnames. Möchten Sie DNSSEC für Ihre Domain einmal deaktivieren und wieder aktiveren? Oder etwas an der Zone ändern und dann die zone speichern. Dann wird die Zone in den nächsten 5 Minuten neu signiert. Vielleicht löst das die Problematik schon.


    Das es an der einen Stelle funktioniert und an der anderen nicht, kann daran liegen ob der Resolver DNSSEC-Fähig ist oder nicht.




    KB19:D

    Hallo liebe Beta Tester,


    nochmals vielen Dank für Ihre Teilnahme und die damit verbundene Mitarbeit bei der Verbesserung unserer Produkte.


    Zum Stand der Dinge.


    Behobene Probleme*

    • Der Wechsel von externen auf interne Nameserver schlug bei .de-Domains fehl.
    • Wildcard Subdomains waren nicht erreichbar.
    • NSEC3 funktionierte in manchen Fällen nicht.
    • Records mit Unterstrich im Hostnamen wurden nicht signiert.
    • Der Upload des ZSK (Zone Signing Key, 256) zur root Zone ist optional, daher wird zukünftig nur der KSK (Key Signing Key, 257) zur Registry übertragen. Dies passiert für Sie im Hintergrund.
    • Manche AAAA Records wurden nicht korrekt signiert. Speichern Sie die Zone neu für ein update.
    • .at Domains ließen sich nicht immer updaten (siehe Probleme von killerbees19)


    Bekannte Probleme

    • Momentan sind keine Probleme bekannt :) , lassen Sie aber nach wie vor Vorsicht walten.



    Sind Ihnen Fehler mit DNSSEC aufgefallen?
    *Treten bei Ihnen noch Probleme auf, obwohl sie schon behoben gemeldet sind?
    Bitte melden Sie sich gerne hierzu.


    Eine schnelle Lösung für Probleme ist oft - das speichern der Zone mit einer Änderung. Dabei wird eine erneute Signatur der Zone angestoßen.

    Hallo WDJac,
    bitte aktualisieren Sie die Signatur ihrer Zone indem Sie erneut die Zone speichern. Dann sollte nach dem nächsten Reload der Zone Wildcards erreichbar sein. Das dauert ca. 2 Stunden.



    Das Problem von fallobst und johnassel wurde behoben, Sie haben eine Mail von unserem Support erhalten.


    Die Sache von killerbees19 wird noch weiter analysiert.