Unser Unternehmen registrierte die Domain "example.eu" beiGandidie eine "Ein-Klick-Lösung" bietet, um DNSSEC für die Zone unserer Domain zu aktivieren. Also haben wir es aktiviert, gewartet bisDNS-VisualisierungDas Inspektionstool zeigte uns, dass unsere übergeordnete Zone (.eu) diegehasht öffentliche KSKvon Gandi und sie haben es in ihrem DS-Eintrag veröffentlicht, der jetzt unsere Zone „example.eu“ authentifiziert).
Wir erwarteten auch von Gandi die Zusendung derprivates KSKdamit wir die Vertrauenskette fortsetzen könnten, aber sie haben nichts gesendet. Auf ihrer Site ist es auch unmöglich, DNSSEC-DNS-Einträge wie TLSA, DS usw. hinzuzufügen.
Es sieht also so aus, als ob sie DNSSEC unterstützen, aber keine DANE-Authentifizierung... Wahrscheinlich würden sie einige Geschäfte verlieren, weil DANE mitselbstsignierte Zertifikateund würde verhindern, dass Unternehmen wie Gandi leicht Geld verdienen, indem sie die Rolle einer Zertifizierungsstelle spielen und Zertifikate verkaufen. DANE ist ein direkter Ersatz für Systeme dummer Zertifizierungsstellen, die mit selbstsignierten Zertifikaten arbeiten!
Kennt jemand einen besseren Domänenregistrar, der uns die Möglichkeit bieten würde, DANE-Einträge wie DS, TLSA usw. manuell hinzuzufügen?
Wir benötigen Unterstützung für TLSA-Datensätze, um den Postfix-E-Mail-Server mit DANE zu authentifizieren, und wir benötigen Unterstützung für DS-Datensätze, um jede andere physische Maschine mit DANE zu authentifizieren und so eine Vertrauenskette fortzusetzen.
Antwort1
Gandi unterstützt DANE- TLSAAufzeichnungen und weitere sichere Delegation ( DSAufzeichnungen) über ihreLiveDNS-API:
Aufnahmetyp
Einer von :
A, AAAA, ALIAS (noch nicht unterstützt mit DNSsec-fähigen Domänen), CAA, CDS, CNAME, DNAME, DS, KEY, LOC, MX, NS, OPENPGPKEY, PTR, SPF, SRV, SSHFP, TLSA, TXT, WKS