it-swarm.com.de

Bei der alten Registrierungsstelle war DNSSEC aktiviert, und nach der Übertragung wird es von der neuen Registrierungsstelle nicht unterstützt. Jetzt wird die Seite nicht geladen

Ich habe einen Domain-Transfer mit aktiviertem DNSSEC zu einem Betreiber durchgeführt, der DNSSEC nicht unterstützt. Der erste Operator hat keine Möglichkeit, DNSSEC zu deaktivieren, und ich habe darüber sowieso nicht nachgedacht. Und jetzt habe ich ein Problem - der Transfer war am Donnerstag und die Domain ist bis heute nicht in der ganzen Welt sichtbar (einschließlich Googles DNS). Könnte dies an DNSSEC liegen? Gibt es eine Chance, die Ausbreitung in dieser Situation zu vervollständigen?

3
Insane

Könnte dies an DNSSEC liegen?

Ja, aber es ist unmöglich, sicher zu sein, dass Sie nicht den betreffenden Domainnamen angeben, auch nicht die TLD (die Regeln für Übertragungen und DNSSEC-Daten ändern sich je nach TLD). Das Debuggen von DNSSEC-bezogenen Problemen im DNS ist bereits eine komplizierte Aufgabe, wenn Sie den Namen der beschädigten Domäne kennen. Ohne diese Aufgabe wird dies jedoch zu einer unmöglichen Aufgabe.

Sogar "Domain-Transfer" ist nicht sehr klar, so dass die Antwort unten nur allgemeine Erklärungen für die meisten normalen Fälle sind.

DNSSEC muss ständig gewartet werden

Unabhängig davon, welchen DNS-Anbieter Sie für die Verwaltung Ihrer Nameserver verwenden, müssen Sie bei der Aktivierung von DNSSEC verstehen, dass für Sie eine fortlaufende Wartung erforderlich ist, die von jemandem ausgeführt werden muss:

  • nur direkt auf den Nameservern müssen Signaturen neu generiert werden. Aus Sicherheitsgründen sollten die Schlüssel normalerweise nach einigen Monaten für ZSKs gedreht werden.

  • wenn Sie auch die KSKs ändern (ebenfalls gute Sicherheitspraktiken, jedoch in der Regel in Jahren und nicht in Monaten wie bei einem ZSK), müssen Sie den DS -Datensatz in der übergeordneten Zone ändern, was vorerst bedeutet Geben Sie dieses DS an den aktuellen Registrar, damit er es an die Registrierung weiterleitet, die es dann veröffentlicht. In diesem Fall wird versucht, den Registrar durch .DK und .CH/.LI zu umgehen habe in Kürze solche Features)

Das oben Genannte bedeutet also: Jede Art von DNS-Providerwechsel kann Konsequenzen haben. Es ist ein schweres Problem, wenn es nicht im richtigen Tempo ausgeführt wird und vor allem, wenn der alte Anbieter nicht kooperiert. Es gibt RFCs für Anleitungen dazu.

DNS-Anbieter ist Registrar oder nicht

Wenn Sie einen Domainnamen kaufen, wenden Sie sich in der Regel an einen Registrar, dessen Aufgabe es ist, Domainnamen zu registrieren. Wenn Sie möchten, dass es sich auflöst, benötigen Sie einen DNS-Dienst. Registrare sind häufig auch DNS-Anbieter (auch für Domänennamen, die in einigen Fällen nicht bei ihnen registriert sind). Sie können jedoch auch einen externen DNS-Anbieter auswählen.

In diesem zweiten Fall ist die DNSSEC-Wartung komplizierter. Wenn Ihr Registrar auch Ihr DNS-Anbieter ist und alle DNSSEC-Einträge automatisch für Sie verwaltet, müssen Sie sich natürlich weniger Sorgen machen, aber Sie legen auch alles in denselben Korb, sodass es ein Kompromiss ist, dies zu verstehen

Eine Übertragung von Domainnamen zwischen Registraren hat keinen Einfluss auf die DNS-Auflösung

Wenn ein Domain-Name zwischen zwei Registraren übertragen wird , ändert sich zumindest auf Registrierungsebene nichts an den verwendeten Nameservern .

Dies bedeutet, dass die Domain, die sich jetzt bei einem neuen Registrar befindet, nach Abschluss des Transfers immer noch dieselben Nameserver verwendet, die sie vor dem Transfer verwendet hat, und dass DNSSEC daher, falls es zuvor vorhanden war, genauso weiterarbeiten sollte .

Mit Einschränkungen:

  • wenn Ihr DNS-Anbieter Ihr vorheriger Registrar war, von dem Sie gerade ausgetreten sind, wird er auf der Grundlage des Vertrags, den Sie mit ihm geschlossen haben, möglicherweise den DNS-Dienst für Ihre Domain bei einem zweiten Registrar einstellen oder nicht. Gute Registrare werden auch in diesem Fall noch einige Tage Dienst leisten, damit Sie Zeit haben, ordnungsgemäß zu wechseln. Wenn Sie sich in einer Situation befinden, in der der DNS-Dienst nach der Übertragung sofort abgeschaltet wird, werden Sie bald in einer Welt voller Schmerzen sein

  • wenn Sie Ihren neuen Registrar gebeten haben, die Nameserver während der Übertragung zu ändern, sollte der Vorgang sofort nach Abschluss der Übertragung ausgeführt werden. Wenn die neuen Nameserver jedoch nicht genau wie die alten eingerichtet sind, einschließlich der mit DNSSEC und speziell den DNSKEY -Datensätzen zusammenhängenden, wird (kann) Ihre Domain für die Überprüfung von Resolvern beschädigt, sobald die Nameserver geändert werden Dadurch wird NXDOMAIN für Ihre Domain erstellt, da der DS -Datensatz in der übergeordneten Zone angezeigt wird, auf den Nameservern jedoch kein DNSKEY -Datensatz mehr

Übertragung eines Domainnamens mit DNSSEC

Hier kommt es sehr auf TLDs an.

Bei einigen Registrys muss jeder Registrar zertifiziert oder zumindest auf DNSSEC überprüft werden, und die Registrierung verhindert Übertragungen von einem DNSSEC-fähigen Registrar zu einem nicht DNSSEC-fähigen Registrar.

Einige Registrierungen verbieten möglicherweise die Übertragung von DNSSEC-fähigen Domänen (in diesem Fall müssen Sie zuerst DNSSEC entfernen, um in den unsicheren Fall zurückzukehren, dann übertragen und anschließend DNSSEC zurücksetzen).

Einige Registrierungen entfernen möglicherweise DNSSEC-bezogene Datensätze (d. H. Den Eintrag DS in ihrer (Registrierungs-) Zone) während der Übertragung, insbesondere wenn die neue Registrierstelle nicht DNSSEC-aktiviert ist oder keinen bestimmten Switch verwendet hat, der die Beibehaltung von DNSSEC anfordert Aufzeichnungen während der Überweisungen.

Es gibt eine spezielle EPP-Erweiterung, um die Übertragung von DNSSEC-fähigen Domänen zu vereinfachen: Key Relay Mapping für das Extensible Provisioning Protocol Jedoch:

  1. es muss von der Registrierung implementiert werden. Nach meinem besten Wissen ist dies nur bei SIDN der Fall, der Registry .NL
  2. der neue Registrar muss es verwenden
  3. der alte Registrar muss zusammenarbeiten

Das schafft viele Bedingungen, die man nicht oft findet.

Ein Wort zur "Ausbreitung"

Während jeder es im DNS-Kontext verwendet, ist es falsch. DNS ist nicht von oben nach unten: Wenn eine Änderung in einer Zone erfolgt, wird dies nicht auf alle rekursiven Resolver übertragen (eine ohnehin unmögliche Aufgabe). Im Gegenteil, die rekursiven Nameserver lernen die Änderung in einer bestimmten Zeit kennen, abhängig sowohl vom Inhalt ihres Caches als auch von den TTL (Time To Live) -Werten. Aus diesem Grund können Änderungen sofort oder nach Stunden oder Tagen auftreten, je nachdem, wie Sie testen, was Sie zuvor getestet haben und von wo aus.

Sie erwähnen Google DNS-Server, die genau angeben, was nicht zu tun ist: Bei DNS-Änderungen müssen Sie zuerst die autorisierenden Nameserver (beginnend mit der übergeordneten Zone) abfragen, um zu überprüfen, ob sie die erwarteten Werte aufweisen. Erst danach können Sie in verschiedenen öffentlichen rekursiven Formaten stöbern. Denken Sie jedoch daran, dass es eine Welt außerhalb von Google gibt. Daher können Sie auch 1.1.1.1 (CloudFlare), 9.9.9.9 (IBM + PCH), 80.80.80.80 (Freenom) oder 64.6.64.6 (VeriSign) verwenden. Dies hängt unter anderem davon ab, an welche Entität Sie Ihre Daten senden möchten. Sie können auch Ihre eigenen lokalen rekursiven Nameserver verwenden, entweder in Ihrer eigenen Box, in Ihrem LAN oder in Ihrem ISP-Netzwerk.

Sie haben auch Online-Tools zur Fehlerbehebung:

  • https://zonemaster.net/
  • https://dnsviz.net/ Dies ist besonders gut für DNSSEC, da es eine Kette von Vertrauensstellungen und Delegierungen als Bild mit Knoten und Links darstellt, wodurch das Verständnis der Situation viel einfacher ist als die Textausgabe (und Sie können dies tun) sogar lokal installieren)

Was hätte passieren können und was zu tun?

  1. Möglicherweise wurden die Nameserver geändert, und die neuen haben einen anderen Zoneninhalt. Dies bricht DNSSEC sofort, da der Datensatz DNSKEY nicht vorhanden ist. Erste Maßnahme zur Behebung des Problems: Gehen Sie zum Registrar und entfernen Sie DNSSEC-Material (den Eintrag DS), um Zeit zu haben, die Nameserver wieder korrekt einzurichten
  2. Registrare wurden geändert und der Eintrag DS wurde von der Registrierung oder von einem neuen Registrar entfernt. Ihre Domain sollte sich dann noch korrekt auflösen, aber Sie sind nicht mehr durch DNSSEC geschützt. Erste Maßnahme zur Behebung des Problems: Überprüfen Sie, ob Ihr Registrar DNSSEC verarbeitet (was bedeutet, dass nur DS Einträge an die Registrierung gesendet werden können), und bitten Sie Ihren DNS-Anbieter, DNSSEC für Ihre Domain erneut zu aktivieren
  3. Wahrscheinlich viele andere Fälle, aber alle hängen von Details ab, die Sie nicht angegeben haben
2
Patrick Mevzek