Hej, Jag har nyligen fått upp DNSSEC för några av mina domäner. För .se visade sig automatiseringen med CDS RR som registry plockar upp vara praktisk. För ett par .se-domäner så verkar dock allt inte gå riktigt rätt. För dessa så plockar IIS CDS-automatisering bara upp den ena av de två hasharna (bara 4:an, SHA384). Ett exempel: ``` $ dig +short lublin.se. ds 37136 13 4 DBF142555D55ECC9798E91F586FAB7550B772F4F06574D6F1D9724DD 927A9775521CD2C5BCB35618484E33C480C2D6C5 $ dig +short @ns1.desec.io lublin.se. cds 37136 13 2 A2E09560E47CA304BA4773FEED73733936470ED7D429A94055DEE1CB E1ECB09D 37136 13 4 DBF142555D55ECC9798E91F586FAB7550B772F4F06574D6F1D9724DD 927A9775521CD2C5BCB35618484E33C480C2D6C5 ``` https://cds.registry.se/ säger om lublin.se: Domain lublin.se Status Done = The scanning process has completed successfully. FirstValidAt 2025-02-01 14:36:24 LastValidAt 2025-02-01 14:36:24 Message Region Timestamp ok North America 2025-02-09 14:36:23 ok Europe ... Jag har åtminstone en annan .se-domän där båda hasharna plockas upp och läggs in som två DS RR uppe vid delegeringspunkten. Saker fungerar generellt även om bara en hashvariant ligger som DS-post, men det ger ju varning hos Zonemaster mfl. -- Daniel lublin.se
Hej Daniel, Du kanske kan återkomma med vilka ytterligare domäner det handlar om i privat meddelande, men just för lublin.se så ser jag följande; * 2025-02-01 14:36:25 – CDS-scannern lägger till båda digestarna till registry-backend, vilka då kom med i nästa påföljande zonpublicering. * 2025-02-04 09:14:22 – Ett EPP-kommando från din registrar som uppdaterar lublin.se med att ta bort ena digesten, vilken då försvann i nästa påföljande zonpublicering. Så just för den här domänen bör du nog kontakta din registrar. Men återkom som sagt gärna med vad mer som inte fungerat som du tänkt. Mvh, Anders From: Daniel Lublin via Ns.se <ns.se@lists.iis.se> Date: Monday, 10 February 2025 at 09:32 To: ns.se@lists.iis.se <ns.se@lists.iis.se> Subject: [Ns.se] .se cds-automatisering ej komplett? Hej, Jag har nyligen fått upp DNSSEC för några av mina domäner. För .se visade sig automatiseringen med CDS RR som registry plockar upp vara praktisk. För ett par .se-domäner så verkar dock allt inte gå riktigt rätt. För dessa så plockar IIS CDS-automatisering bara upp den ena av de två hasharna (bara 4:an, SHA384). Ett exempel: ``` $ dig +short lublin.se. ds 37136 13 4 DBF142555D55ECC9798E91F586FAB7550B772F4F06574D6F1D9724DD 927A9775521CD2C5BCB35618484E33C480C2D6C5 $ dig +short @ns1.desec.io lublin.se. cds 37136 13 2 A2E09560E47CA304BA4773FEED73733936470ED7D429A94055DEE1CB E1ECB09D 37136 13 4 DBF142555D55ECC9798E91F586FAB7550B772F4F06574D6F1D9724DD 927A9775521CD2C5BCB35618484E33C480C2D6C5 ``` https://cds.registry.se/ säger om lublin.se: Domain lublin.se Status Done = The scanning process has completed successfully. FirstValidAt 2025-02-01 14:36:24 LastValidAt 2025-02-01 14:36:24 Message Region Timestamp ok North America 2025-02-09 14:36:23 ok Europe ... Jag har åtminstone en annan .se-domän där båda hasharna plockas upp och läggs in som två DS RR uppe vid delegeringspunkten. Saker fungerar generellt även om bara en hashvariant ligger som DS-post, men det ger ju varning hos Zonemaster mfl. -- Daniel lublin.se -- Ns.se mailing list -- ns.se@lists.iis.se To unsubscribe send an email to ns.se-leave@lists.iis.se
A-ha! Jag pratat faktiskt med min registrar tidigare och efter det gissade jag/vi att CDS-automatiken nog trumfar eventuella DS-justeringar över EPP. Jag som dnssec-noob tänkte det kunde vara rimligt, men det kanske var dumt gissat. Finns just denna logik dokumenterad nånstans? Och ursäkta att jag inte letar upp och läser igenom eventuell tillgänglig dokumentation. Men finns det då något EPP-kommando som registrarer kan använda för att säga typ "glöm allt om DS RR från mig för den här domänen, kör er CDS-automatik"? -- Daniel lublin.se
Vi har som policy att "CDS records should not overwrite more recent updates from EPP", som hittas här: https://internetstiftelsen.se/domaner/domannamnsbranschen/teknik/policy-and-... Det finns inget sätt "stänga av" DNSSEC-hantering i EPP-protokollet, men lösningen är att registraren inte skickar några dylika uppdateringar. (EPP innehåller dock lösningar för registraren att få information från oss om uppdateringar som scannern gjort så att deras system kan hållas uppdaterade).
Tack Anders, finfin referens, den gör det tydligt! Jag har pratat lite mer med min registrar och jo, jag måste ha varit klåfingrig i deras interface, innan jag fattade helt hur CDS fungerade. CDS hade då redan börjat fungera, men det var inte så tydligt just där. Så mest SBS här då. Tack alla. -- Daniel lublin.se
FWIW, jag anser det vara En Bra Sak (tm) om scannern och epp båda kan göra ändringar för DNSSEC. Jag ser det som diversitet, och sådant är (ju) bra, eller hur? Om ena falerar kan alltid den andra skriva över. Så kör på! Eller tänker jag helt fel? Patrik
participants (4)
-
Anders Ek -
anders.ek@internetstiftelsen.se
-
Daniel Lublin -
Patrik Fältström