Gelezen op:

https://www.sidn.nl/nieuws/nieuwsbericht/article/test-of-u-klaar-bent-voor-dnssec/

"SIDN heeft een applicatie ontwikkeld waarmee u kunt testen of u gereed bent voor het valideren van DNSSEC-handtekeningen. In een paar seconden kunt u testen of de DNS resolver die uw computer gebruikt het DNSSEC-protocol ondersteunt."

Ik ben benieuwd wie er inderdaad al een groene 'V' te zien krijgt.

De test is te vinden op:

http://dnssectest.sidn.nl/

Ziggo in ieder geval niet.

Helaas. Hier ook een groot kruis. XS4ALL trouwens.

Helaas. Hier ook een groot kruis. XS4ALL trouwens.

XS4ALL doet al wel (deels) aan DNSSEC validatie, weet ik. Mogelijk zit er een ADSL router in de weg, met een DNS forwarder die geen DNSSEC begrijpt (in recente Fritz!Box modellen is dit inmiddels gefikst).

Telfort geeft ook een rode kruis

Alice -> Rood kruis

"You are not protected" (Ziggo)

Unprotected via KPN Business DSL en Ziggo (oud @Home netwerk).

UPC --> This is taking unusually long...
(gebruik de opendns nameservers trouwens).

UPC --> This is taking unusually long...
(gebruik de opendns nameservers trouwens).

UPC heeft in ieder geval geen ondersteuning met de standaard DNS server (van de router).

Gelezen op:

https://www.sidn.nl/nieuws/nieuwsbericht/article/test-of-u-klaar-bent-voor-dnssec/

"SIDN heeft een applicatie ontwikkeld waarmee u kunt testen of u gereed bent voor het valideren van DNSSEC-handtekeningen. In een paar seconden kunt u testen of de DNS resolver die uw computer gebruikt het DNSSEC-protocol ondersteunt."

Ik ben benieuwd wie er inderdaad al een groene 'V' te zien krijgt.

De test is te vinden op:

http://dnssectest.sidn.nl/

Heb hier een mooie groene V, maar niet dankzij mn ISP (XS4ALL), maar omdat ik unbound draai met de benodigde DNSSEC informatie.

Hoeveel .nl domeinen zijn er inmiddels gesigned met DNSSEC?

Hoeveel .nl domeinen zijn er inmiddels gesigned met DNSSEC?

Toch alweer een kleine 50.

SIDN biedt ‘Friends & fans’ van DNSSEC de mogelijkheid om hun DNS trust anchor(s) te laten opnemen in de .nl-zone. Dit wordt ondersteund met een aantal handmatige processen. Deze fase is bedoeld voor mensen die al bekend zijn met DNSSEC.

https://www.sidn.nl/over-nl/dnssec/friends-fans-fase/

Maar bedenk dat er inmiddels veel meer TLDs aan DNSSEC doen. Vandaag voegt zich daar .com bij, dus DNSSEC-validatie aanzetten op je resolver begint zo langzamerhand wel te lonen.

Toch alweer een kleine 50.

SIDN biedt ‘Friends & fans’ van DNSSEC de mogelijkheid om hun DNS trust anchor(s) te laten opnemen in de .nl-zone. Dit wordt ondersteund met een aantal handmatige processen. Deze fase is bedoeld voor mensen die al bekend zijn met DNSSEC.

https://www.sidn.nl/over-nl/dnssec/friends-fans-fase/

Maar bedenk dat er inmiddels veel meer TLDs aan DNSSEC doen. Vandaag voegt zich daar .com bij, dus DNSSEC-validatie aanzetten op je resolver begint zo langzamerhand wel te lonen.

Maar nu de DNS server kant nog. Bind9 is de enige die het ondersteunt in productie, powerdns is (IMHO) nog steeds niet productie waardig. DJBDns zal het (waarschijnlijk) nooit ondersteunen.

Dan zou je er eventueel Phreebird voor kunnen hangen, maar of je dat nou wil... Lees verschillende verhalen daar over.

En het friends-and-fans is leuk, maar daar kun je maar 2 domeinen in hangen. Leuk om mee te testen/spelen, maar je kunt er je huidige registratie systeem (nog) niet DNSSEC klaar mee maken lijkt me.

Heb je daar toevallig wat meer informatie over? hebben jullie daar al een planning voor?

Maar nu de DNS server kant nog.

Er is ook nog NSD (http://www.nlnetlabs.nl/projects/nsd/) van NLnetLabs.
Phreebird is niet productiewaardig, maar er zijn al wel commerciele producten op de markt die iets soortgelijks doen (in-line, on-the-fly signing).
PowerDNS is hard op weg naar een productierijpe release (3.0) met DNSSEC ondersteuning.

Voor het vervolg op Friens & Fans verwijs ik graag naar de SIDN (https://sidn.nl/)-website. Registrars kunnen al wel beginnen met het voorbereiden van hun systemen, als ze willen, maar dan voor andere TLDs die al iets verder zijn met de implementatie van DNSSEC. Voor wat betreft de interfacing met DRS5 moeten de details nog worden uitgewerkt, maar denk ook eens aan zaken als het uitdenken en optuigen van een DNSSEC-signing omgeving en het klaar maken van name servers e.d. (al dan niet in een test-omgeving). Hoe zou je dat kunnen/willen aanpakken? Allemaal zaken waar al wel vast een aanvang mee worden gemaakt (als is het maar in gedachten).

En, nogmaals, denk ook aan je resolvers. Het aanzetten van DNSSEC validatie (http://dnssectest.sidn.nl/) is relatief simpel aan die kant. Een 'quick-win' dus.