[Nlnog] DNSSEC fuckups

bert hubert bert.hubert at netherlabs.nl
Fri Jul 6 14:32:54 UTC 2012


On Jul 6, 2012, at 3:57 PM, Raymond Dijkxhoorn wrote:
> Er zijn providers die het stoer vinden om alle domeinen DNSSEC enabled aan te bieden. Dat is natuurlijk een prachtig idee, mits goed uitgevoerd.

Inderdaad. In overleg met Totaalnet, ze hebben inderdaad voor een hoeveelheid domeinen een DS record bij SIDN aangemeld en hun eigen kopie van die zone gesigned, terwijl die zones niet daadwerkelijk naar de servers van Totaalnet gedelegeerd waren. En dan concluderen validating resolvers terecht dat het niet klopt.

Alle betrokken DS records zijn weer afgemeld, en het is nu afwachten op het aflopen van de diverse TTLs. De grafiek op http://xs.powerdns.com/dnssec-nl-graph/ zal daardoor weer wat dalen.

Vanuit PowerDNS begeleiden we een aantal DNSSEC uitrollen in Nederland, het controleren of de domeinen die je signt ook van jouw zijn komt met stip op de checklist. 

Wat meer punten zijn te vinden op: http://dnssec.nl/cases/powerdns-en-dnssec-aandachtspunten-en-ondersteuning.html
en ons aanbod tot begeleiding: http://mailman.powerdns.com/pipermail/pdns-users/2012-July/009083.html

Bedankt voor de melding!

	Bert

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20120706/76f720e4/attachment.html>



More information about the NLNOG mailing list