Tid til at flytte bits og bytes, tid til at få erfaring og tid til at komme i gear og få r*ven ud af vandskorpen. Vi har kørt med DNSSEC i nu snart mange år, som en eksperimental feature.
Vi har signed alle vores .se zoner som vi har i DNS med DNSSEC i en ren demonstration for at vise at det her ikke er en umulig opgave, alle DS nøglepar er vidresendt, automatisk, til det svenske registry via EPP, og alt er klar.
Det gør os med et til Sveriges største udbyder af DNSSEC, med lidt over 65% af de samlede antale DNSSEC signed zoner.
.. og hvad er så problemet, for der må da være problemer?
Ja, problemer er der masser af, feks har jeg ca 147444 .dk problemer. Disse zoner kan jeg ikke DNSSEC signere, da vi pr default ikke får adgang til at gøre dette i dk-hostmaster‘s nye fine system som frigives 1/7, da vi “ikke har nogle nøgleansvarlig på de ca 1 million .dk domæner der ligenu findes, da registranten manuelt skal gå ind og tilføje en nøgleansvarlig” – citat, mere eller mindre ordret, Per Kølle – DK-Hostmaster A/S (att Per: jeg modtager gerne korrigeringer hvis min opfattelse fra registrator møderne og DNSSEC mødet er opfattet forkert).
I forvejen findes der en DNS zone kontakt, hvis du ikke stoler på din DNS operatør, hvem fanden skal du så stole på?
DK-Hostmaster har en vision om at du som registrant, selv, eller giver en tredjepart adgang til at lave signeringen af zonen, dvs
1) du opretter en dns opsætning et sted
2) du laver en KSK og ZSK
3) du laver diverse smarte ting med værktøjer og zonen.. og volia, zonen er signed.
4) du uploader zonen igen til DNS udbyder
5) du uploader DS nøglen til DK-Hostmaster.dk
6) punkt 4 og 5 skal være nogenlunde timet, ellers ender du i problemer.
… Personligt tror jeg at løsningen er udtænkt af en teknikker i samarbejde med en jurist, vores kunder har enddog svært nok i forvejen ved at forstå de skal lave orderbekræftelse efter de HAR købt domænerne. At bede kunderne om ovenstående øvelse, eller bare det at gå ind og udvælge en nøgle kontakt (som i princippet kan være en anden end zonekontakten) og adgang til opdatering af en DS nøgle (hvem tror at kunder kunne finde på at indtaste tilfældige tal og bogstaver her?) er utopi.
.. i gratisdns.dk‘s tilfaelde, og for .se zonen, skal du lave .. absolut.. ingenting.. du skal bare blive ved med at sidde og lave din hjemmeside.. besvare dine mails fra dine kunder og gør dine kone glad med blomster. Det hedder shared registry, EPP, og god kundeservice.
Dét er visionen i fuld galop. Er det da ikke smart?
0 Comments
No comments yet.
RSS feed for comments on this post. TrackBack URL
Leave a comment