Hallo,
bei redhell ist es ja so, dass jeder Nutzer eine begrenzte Anzahl von Punkten vergeben kann. Ist Ihnen das bekannt? Was wäre wichtiger, DNS-SEC, DANE, Domainreselling oder sekundäre Nameserver?
Also meine DNS-Wünsche sind:
- DANE
- DNSSEC
- Mehr DNS Resource Records (insb. NAPTR) im ccp
- Sekundären DNS-Server-Support
Das sind zu viele Wünsche, also suchen wir nach Synergien:
- DANE benötigt: 1. DNSSEC (Wunsch b) und 2. einen TLSA Resource Record (Wunsch c)
- DNSSEC benötigt:
- Die Möglichkeit einen DS Resource Record in der TLD einzutragen
- Mehr DNS Resource Records (Wunsch c)
- Einen primären DNS-Server (so stellt es sich das netcup vor). Mit Blick auf mögliche Man-in-the-Middle-Angriffe ist das auch die einzige Möglichkeit Kontrolle über die privaten Schlüssel zu behalten. Allerdings benötigten wir für einen primären DNS-Server auch einen sekundären DNS-Server (Wunsch d)
- Wenn wir einen primären DNS-Server betreiben (Wunsch b3), dann sind uns die möglichen RRs im ccp egal.
- Kein direkt Wunsch, aber eine Notwendigkeit für den primären DNS-Server (Wunsch b3) und somit die Voraussetzung Wunsch a-b zu erfüllen.
Zusammengefasst komme ich auf zwei zu implementierende Punkte.
- DNSSEC, speziell die Möglichkeit einen DS Resource Record in der TLD einzutragen (Wunsch b1).
- Sekundären DNS-Server-Support (Wunsch d).
Ich will hiermit nicht direkt Werbung für mein Feature-Request machen, aber für einen Provider der DNSSEC (und somit auch DANE) integrieren will, wäre der sekundäre DNS-Server-Support eine strategische Entscheidung. Zumindest ist das der ursprüngliche Grund meiner Nachfrage.
Was ist wenn der Nameserver des Kunden A die Zone tolledomain.tld propagiert und der Nameserver von Kunde B auch? Wer hat dann das Recht dazu? So einfach ist das alles nicht, wie es auf den ersten Blick vielleicht aussieht.
Das kann der DNS-Server von Kunde A ja machen, allerdings, darf das nicht der sekundäre DNS-Server übernehmen. Aber mal ehrlich, wenn ein Slave-DNS-Server für die Zone example.com auch Request für tolledomain.tld beantwortet, weil die vom DNS-Server von Kunde A (Besitzer von Domain example.com) propagiert wurden, dann ist das eine kritische Sicherheitslücke der DNS-Server-Software die sofort gemeldet werden sollte (oder der DNS-Server ist grob fahrlässig konfiguriert).
Bei bind würde ich das so machen:
zone "example.com" {
type slave;
masters { <IP Kunde A>; };
file "/var/lib/bind/db.example.com";
};
zone "tolledomain.tld" {
type slave;
masters { <IP Kunde B>; };
file "/var/lib/bind/db.tolledomain.tld";
};
Damit wäre das beschriebene Szenario nicht möglich.
Die Entwicklungskosten, gemessen an Mitarbeitergehältern, betragen grob geschätzt 40K - 60K Euro.
Wenn ihr System OpenSource wäre, dann hätte ich wohl schon mit der Arbeit an einem Patch begonnen. Ansonsten wäre das auch eine schöne Ausgabe für einen Auszubildenden. Wenn ich Azubi/Praktikant wäre, würde ich mich darüber freuen.
Bitte den Beitrag jetzt nicht falsch verstehen.
Auf keinen Fall, die Tatsache, dass Sie hier schon drei mal geantwortet haben, zeigt, dass sie zu mindestens über das Thema nachdenken, was mich erfreut.
Gruß, poosan