DNSSEC fuer eigene Domain

midnight

OpenBSD & FreeBSD
Hallo,

ich beschaeftige mich momentan ein wenig mit DNSSEC und habe da noch einige Verstaendnisschwierigkeiten.

Meine Domains sind bei inwx.de registriert und ich habe dort vollen DNS-Zugriff. Fuer meine Domain "example.com", welche auf meinen Rootserver zeigt, habe ich dort auch schon DNSSEC aktiviert.

Nun zu meiner Frage: Muss ich auf meinem Rootserver zwingend einen nsd/bind betreiben, um DNSSEC nutzen zu koennen? Ich war immer der Meinung, es reicht, wenn der Registrar die Zone im DNS signiert. Ich moechte nur ungern eigene DNS-Server installieren.
 
Wenn ich den https://dnssec-debugger.verisignlabs.com ausfuehre, ist alles gruen bis auf "No DS records found for com in the .zone" (The parent zone data should include DS records for the child zone. To remedy, the signer of the com zone should send the current DS records to the . zone.)

DNSSEC ist fuer meine Domain bei INWX aktiviert und steht auf "AUTO DNSSEC", da ich keinen eigenen Nameserver nutze, sondern den von INWX. Hier die Text von INWX dazu:

DNSSEC dient der Signierung der DNS Zone Ihrer Domain(s). Dadurch kann sichergestellt werden, dass nur der Nameserver auf DNS Anfragen antwortet, welcher dazu berechtigt ist. Angriffe, welche DNS Abfragen abfangen oder verändern möchten, werden dadurch um ein vielfaches erschwert.

Bei INWX bieten wir Ihnen die Möglichkeit an Ihre Domain vollautomatisch signieren zu lassen, indem wir für Ihre Domain(s) die DNS Zone signieren. In diesem Modus können Sie keine eigenen Schlüssel hinterlegen. Betreiben Sie einen eigenen oder nutzen Sie einen externen Nameserver, können Sie weiterhin im manuellen Modus eigene Schlüssel hinterlegen.

Bitte beachten Sie, dass es bis zu 10 Minuten dauern kann bis die Änderungen sichtbar in der Vergabestelle hinterlegt wurden. Wenn sich ein Schlüssel im Status DELAYED befindet, melden Sie sich bitte beim Support.

So wie ich das verstehe, benoetigt man keinen eigenen Nameserver, wenn man DNSSEC bei INWX aktiviert. Das habe ich getan und bekomme dennoch den o.g. Fehler bezueglich DS records.
 
Alles richtig soweit.

Ich habe es schon erlebt, dass es erst nach 24h 'durch' ist. War allerdings eine .de ;)
 
Das würde bedeuten, dass .com nicht signiert ist. IMHO sind die TLDs aber signiert, prüfe mal mit "google.com".
Mit deiner Zone hat dies nichts zu tun.

Rob

Ich habe das Problem bzw. den Fehler auch mit meiner .de und .fm domain. Schon sehr merkwuerdig. Mehr als den INWX-Automatismus habe ich nicht gemacht.
 
Zurück
Oben