DNSSEC for dummies (and DK-Hostmaster)

Ja, så sprang lortet i luften, og det resulterede i marketingsafdelingen hos DK-Hostmaster plantede denne artikel uden v2.dk journalisten gad at løfte røret på en telefon og spørger hostingudbyderne om noget som helst

https://www.version2.dk/artikel/danske-hostingudbydere-forsoemmer-dns-sikkerhed-under-1-procent-dk-domaener-sikret-963626

Hvorfor skal vi som hostingudbydere have det skudt i skoen?

1. Er det hosting udbydernes skyld at dk-hostmaster har valgt deres egen specielle API?
2. Er det hosting udbydernes skyld at dk-hostmaster BEVIST har besværliggjort opdateringerne af DNSSEC nøgler så hostingudbyderne ikke har mulighed for det?
3. Er det hosting udbydernes skyld at dk-hostmaster er 10+ år teknisk bagud?
4. Er det hosting udbydernes skyld at dk-hostmaster, på trods af 2 gange årligt at man har påmindet dem om fejl og mangler i DNSSEC implementeringen i over 5 år, så er der stadig ikke en løsning?

Jeg skrev om deres implementering for 7 år (SYV ÅR SIDEN!!). Jeg beskrev meget nøjagtig hvorfor det ikke ville virke:

http://new.czar.dk/2009/11/14/dnssec-i-dk-zonen/

citat fra den side:

“VÅGN DOG OP! Successraten på ovenstående er lige så stor som sandsynligheden for at møde fritlevende pingviner i Sibirien!

Svaret er simpelt, din primære zonekontakt skal kunne opdatere DK-Hostmaster med den korrekte nøgleinformation, og i mange tilfælde vil det også betyde at zonekontakten laver nøglen og holder nøglen, stoler du ikke på din primære zonekontakt, så bør du nok overveje om han skal holde din zonefil!”

Alt i alt, så er vi som hosting udbydere totalt uden skyld i dette spørgsmål, da det handler om tilgængelige værktøjer, som vi simpelthen ikke har til rådighed. Alle andre registries som vi samarbejder med, har vi EPP løsninger, elelr som minimum fornuftige api løsninger uden at vi skal bede om yderlige accept fra brugerne.

Så fej for jeres egen dør, der er kun EN der har en skyld for at der er mindre end 1% DNSSEC signed .dk domæner, og det er DK-Hostmaster og deres ikke-samarbejde politik med deres forhandler led, og deres mistillid til deres registrar som lyser igennem hver gang DIFO og DK-Hostmaster’s bestyrelse skal ind over.

Og det er jeg fucking træt af, og det vil klæde DK-Hostmaster at gå ud og fortælle sandheden, og ikke pisse deres reseller led op og ned af nakken.

Leave a Reply