Hi! Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd. Echter, als je dat niet goed uitvoert heb je dikke ellende!! [root at infra30.prolocation ~]# whois atoomstroom.nl [Querying whois.domain-registry.nl] [whois.domain-registry.nl] Domain name: atoomstroom.nl Status: active Registrar: Tiscom Hosting B.V. IJsselburcht 4 6825BP ARNHEM Netherlands DNSSEC: yes Domain nameservers: ns2.prolocation.net ns3.prolocation.net ns1.prolocation.net Zoals met dit: Tiscom besluit al hun domeinen DNSSEC te enablen. Echter heeft niet gekeken of de domeinen ook wel in hun DNS staan. http://dnssec.nl/nieuws/algemeen/aantal-dnssec-beveiligde-nl-domeinen-nadert... Niet alleen dit maar bergen domeinen zijn nu stuk. Nog een voorbeeldje: [root at infra30.prolocation ~]# whois liander.nl [Querying whois.domain-registry.nl] [whois.domain-registry.nl] Domain name: liander.nl Status: active Registrar: Totaalnet Internet Works BV IJsselburcht 4e 6825BP ARNHEM Netherlands DNSSEC: yes Domain nameservers: ns2.server.eu ns.coredns.org ns1.server.eu Mocht je het dus ook voor jouw werkgever gaan doen. Doe dan niet select * en enable alles. Want dit is echt een redelijke faal actie! Dus als je mail logs vol staan met dingen waarvan je denkt, huh wat is dit nou. De kant is groot dat het een domein betreft waar ze spontaan DNSSEC op hebben aangezet zoals bovenstaand. Ik ben benieuwd hoeveel domeinen dit nu betreft.... :( :( Bye, Raymond.
zeg je nou dat partijen willekeurige DS keys naar SIDN sturen? On Jul 6, 2012 3:57 PM, "Raymond Dijkxhoorn" <raymond at prolocation.net> wrote:
Hi!
Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd.
Echter, als je dat niet goed uitvoert heb je dikke ellende!!
[root at infra30.prolocation ~]# whois atoomstroom.nl [Querying whois.domain-registry.nl] [whois.domain-registry.nl] Domain name: atoomstroom.nl Status: active
Registrar: Tiscom Hosting B.V. IJsselburcht 4 6825BP ARNHEM Netherlands
DNSSEC: yes
Domain nameservers: ns2.prolocation.net ns3.prolocation.net ns1.prolocation.net
Zoals met dit:
Tiscom besluit al hun domeinen DNSSEC te enablen. Echter heeft niet gekeken of de domeinen ook wel in hun DNS staan.
http://dnssec.nl/nieuws/**algemeen/aantal-dnssec-** beveiligde-nl-domeinen-nadert-**de-100-000.html<http://dnssec.nl/nieuws/algemeen/aantal-dnssec-beveiligde-nl-domeinen-nadert-de-100-000.html>
Niet alleen dit maar bergen domeinen zijn nu stuk.
Nog een voorbeeldje:
[root at infra30.prolocation ~]# whois liander.nl [Querying whois.domain-registry.nl] [whois.domain-registry.nl] Domain name: liander.nl Status: active
Registrar: Totaalnet Internet Works BV IJsselburcht 4e 6825BP ARNHEM Netherlands
DNSSEC: yes
Domain nameservers: ns2.server.eu ns.coredns.org ns1.server.eu
Mocht je het dus ook voor jouw werkgever gaan doen. Doe dan niet select * en enable alles. Want dit is echt een redelijke faal actie!
Dus als je mail logs vol staan met dingen waarvan je denkt, huh wat is dit nou. De kant is groot dat het een domein betreft waar ze spontaan DNSSEC op hebben aangezet zoals bovenstaand.
Ik ben benieuwd hoeveel domeinen dit nu betreft.... :( :(
Bye, Raymond.
______________________________**_________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/**mailman/listinfo/nlnog<http://mailman.nlnog.net/mailman/listinfo/nlnog>
Hi!
zeg je nou dat partijen willekeurige DS keys naar SIDN sturen?
Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd.
Ze hebben voor al hun domeinen lijkt het an-mass de boel aangezet. cdahorstaandemaas.nl atoomstroom.nl bsbouwen.nl liander.nl blend.nl opgelichtopinternet.nl nt2examen.nl abram.nl 0900alternatieven.nl tudelft-architecture.nl oogedam.nl rejected.nl ... Kan nog wel even verder greppen maar het idee is wel duidelijk denk ik. Dus in short, ja daar lijkt het wel op ja! Mischien kan iemand van Tiscom hier vertellen wat er gebeurd is? Bye, Raymond.
On Jul 6, 2012, at 3:57 PM, Raymond Dijkxhoorn wrote:
Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd.
Inderdaad. In overleg met Totaalnet, ze hebben inderdaad voor een hoeveelheid domeinen een DS record bij SIDN aangemeld en hun eigen kopie van die zone gesigned, terwijl die zones niet daadwerkelijk naar de servers van Totaalnet gedelegeerd waren. En dan concluderen validating resolvers terecht dat het niet klopt. Alle betrokken DS records zijn weer afgemeld, en het is nu afwachten op het aflopen van de diverse TTLs. De grafiek op http://xs.powerdns.com/dnssec-nl-graph/ zal daardoor weer wat dalen. Vanuit PowerDNS begeleiden we een aantal DNSSEC uitrollen in Nederland, het controleren of de domeinen die je signt ook van jouw zijn komt met stip op de checklist. Wat meer punten zijn te vinden op: http://dnssec.nl/cases/powerdns-en-dnssec-aandachtspunten-en-ondersteuning.h... en ons aanbod tot begeleiding: http://mailman.powerdns.com/pipermail/pdns-users/2012-July/009083.html Bedankt voor de melding! Bert
Hi!
Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd.
Inderdaad. In overleg met Totaalnet, ze hebben inderdaad voor een hoeveelheid domeinen een DS record bij SIDN aangemeld en hun eigen kopie van die zone gesigned, terwijl die zones niet daadwerkelijk naar de servers van Totaalnet gedelegeerd waren. En dan concluderen validating resolvers terecht dat het niet klopt.
Bedankt voor de melding!
Geen punt. Hoeveel domeinen betrof het? Want dit is echt heel slecht. Thanks, Raymond.
participants (3)
-
bert.hubert@netherlabs.nl -
job@instituut.net -
raymond@prolocation.net