Resultaten 1 tot 4 van de 4
  1. #1
    DNSSEC: Geen DS keys in NL zone.
    geregistreerd gebruiker
    2 Berichten
    Ingeschreven
    05/09/20

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Kees Kluts

    Thread Starter

    DNSSEC: Geen DS keys in NL zone.

    Ik draai zelf mijn authorative nameservers met BIND9 en heb mijn zone files allemaal netjes ondertekend. Toch hou ik gezeur met de NL zone. SIDN geeft aan dat normaalgesproken DS records moeten worden geupload naar de registrar maar dat SIDN alleen DNSKEY records wil hebben en daaruit zelf de DS records genereert en opneemt in de NL zone, dat staat hier: https://www.sidn.nl/en/dnssec/dnssec...-in-bind-named (onder 7 Uploading Key Material).

    Ik heb netjes mijn DNSKEY records doorgegeven aan mijn registrar maar de DNSSEC test van verisign geeft aan dat er geen DS records in de NL zone bestaan voor mijn domeinen. De registrar zegt alleen DNSKEY records te kunnen opnemen en dat hebben ze ook gedaan. Desondanks houd ik problemen, zoals je kunt zien in de test van verisign, bijvoorbeeld voor mijn domein beyondsec.nl: https://dnssec-analyzer.verisignlabs.com/beyondsec.nl

    Daarbij/daardoor houd ik problemen met resolvers, die hier en daar SERVFAIL aangeven. Dnsmaq geeft BOGUS records terug, vermoedelijk omdat de chain niet compleet is. Ik zit een beetje tussen wal en schip want ik kan niet echt ergens meer terecht met dit probleem.

    Heeft iemand hier ervaring mee? Misschien heb ik wel iets heel simpels gemist.

    Alle suggesties zijn welkom!
    Laatst gewijzigd door SpaceKees; 06/09/20 om 12:05.



  2. #2
    DNSSEC: Geen DS keys in NL zone.
    geregistreerd gebruiker
    18 Berichten
    Ingeschreven
    08/04/10

    Locatie
    Arnhem

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    1 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Hallo Kees,

    Zo te zien heeft jouw registrar het sleutelmateriaal nog niet doorgegeven aan SIDN:

    whois beyondsec.nl | grep DNSSEC
    DNSSEC: no

    Zolang daar geen 'yes' staat is het sleutelmateriaal nog niet bij SDIN bekend en staat er dus ook geen DS-record in de .nl-zone.

    Dat is te zien op https://dnsviz.net/d/beyondsec.nl/X1XohQ/dnssec/ en ook op jouw eigen https://dnssec-analyzer.verisignlabs.com/beyondsec.nl

    Het advies is dus om nog even bij je registrar te rade te gaan wat hier is mis gegaan.

    Overigens zou het ontbreken van een DS-record in de nl-zone niet mogen leiden tot een DNSSEC-validatiefout (SERVFAIL). Dus mogelijk heeft de SERVFAIL die jij ziet een andere oorzaak? Een eerdere DNSviz-test laat wat fouten zien m.b.t. UDP-responses van 217.62.168.108, dus misschien speelt/speelde dat een rol (https://dnsviz.net/d/beyondsec.nl/X0mB_g/dnssec/)


    --
    Marco
    Laatst gewijzigd door mdavids; 07/09/20 om 11:03.

  3. #3
    DNSSEC: Geen DS keys in NL zone.
    geregistreerd gebruiker
    2 Berichten
    Ingeschreven
    05/09/20

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Kees Kluts

    Thread Starter
    Hoi MDavids, bedankt voor het meedenken!

    Toch vreemd, ik heb mijn registrar gevraagd om de DNSKEY records op te voeren en die zie ik volgens mij staan onder https://dnssec-analyzer.verisignlabs.com/beyondsec.nl, hoewel de DS records ontbreken. De registrar geeft aan alleen DNSKEY records te kunnen opnemen (records die eindigen op ==) en SIDN zegt iets soortgelijks in de link die ik al postte. Die DNSKEY records zie ik dus, maar geen DS records:

    No DS records found for beyondsec.nl in the nl zone (dit is het probleem ja)
    Found 2 DNSKEY records for beyondsec.nl (is dit in de NL zone?)

    Ben zelf nog niet zo heel ervaren met DNSSEC dus 't kan zomaar zijn dat ik dit verkeerd interpreteer. Inmiddels opnieuw het verzoek neergelegd bij registrar. Zodra er iets nieuws bekend is post ik de oplossing natuurlijk, hopelijk heeft iemand anders er dan ook nog iets aan

  4. #4
    DNSSEC: Geen DS keys in NL zone.
    geregistreerd gebruiker
    18 Berichten
    Ingeschreven
    08/04/10

    Locatie
    Arnhem

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    1 Berichten zijn liked


    Registrar SIDN: ja
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    De DNSKEY's die je ziet, staan inderdaad in de zone beyondsec.nl zelf. Als je de 'key signing key' daarvan doorgeeft aan je registrar, moet die hem doorgeven aan SIDN. En SIDN berekend dan daarmee het bijbehorende DS-record en plaatst dat in de nl-zone. Dan is de 'chain of trust' compleet en doe je DNSSEC.

    De key signing key herken je aan de '257' in de output van 'dig DNSKEY beyondsec.nl'.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2018 Webhostingtalk.nl.
Web Statistics