DNSSEC problematik

Opdatering: Vi tilbyder nu DNSSEC.

Vi er begyndt at se en del problemer med DNSSEC og .dk domæner.

Til dem der ikke ved hvad DNSSEC er, så er det en måde at signere ens DNS Zone, så man sikrer sig at den navneserver som svarer for domænet, rent faktisk er den rigtige.

Det gøres ved at signere zonen på navneserveren med en nøgle og herefter give denne nøgle til f.eks. DK-Hostmaster. Når disse to så passer er alt som det skal være.

DNSSEC er meget udbredt på .se TLD’et, men er forholdsvis nyt på .dk – det er også forholdsvis nyt at verdens DNS resolvere (f.eks. Googles Public DNS) rent faktisk validerer på DNSSEC. Senest er TDC begyndt at gøre det.

Problemer begynder at opstå når man så redelegerer domænet til andre navneservere.
Så passer nøglen hos DK-Hostmaster ikke længere med nøglen hos den nye udbyder og så svarer domænet ikke korrekt hvis ens besøgende bruger en DNS Resolver som tjekker på DNSSEC.

På .se domæner løses dette ved at udbyderen (f.eks. os) fjerner DNSSEC fra domænet når man overtager domænet. Det er desværre ikke en funktion DK-Hostmaster giver os mulighed for, her skal domæneejeren manuelt ind i DK-Hostmasters selvbetjening og deaktivere DNSSEC på sit domæne.

Hvordan kan jeg se om der er DNSSEC på mit domæne?

Verisign har et værktøj du kan teste med her: http://dnssec-debugger.verisignlabs.com/.
Hvis der står “No DS records found for example.dk in the dk zone” så er der ingen DNSSEC på dit domæne.

Hvordan fjerner jeg DNSSEC fra mit domæne?

For .dk domæner gøres dette via DK-Hostmasters selvbetjening. For de fleste andre TLD’er kan vi gøre det for dig. Vi drømmer om den dag .dk virker på samme måde.

Understøtter UnoEuro DNSSEC?

Det kunne vi godt, men vi har valgt ikke at gøre det på nuværende tidspunkt. Vi mener DNSSEC giver anledning til en masse problemer hvis man ikke er sat ordentlig ind i det som domæneejer. Samtidig betyder DNSSEC en unødvendig komplicering af vores navneserverinfrastruktur. Vi vil dog formentlig understøtte det på et tidspunkt, når vi mener det gør mere gavn end skade. Selv om vi understøttede DNSSEC, skal en domæneejer stadig ind på DK-Hostmasters hjemmeside og ændre nøgleansvarlig ved en evt. redelegering, så der er stadig rig mulighed for at det giver problemer. Vi mener ikke det er det værd.

3 thoughts on “DNSSEC problematik”

  1. Jeg syndes det er det værd. I kan jo bare sende en mail med vejledning til brugeren når domainet bliver redelegerer

Comments are closed.