Wie ihr vielleicht schon durch diesen Blog mitbekommen habt, war ich kürzlich auf der Suche nach einem neuen Provider für meine Domains. Mein bisheriger Domain-Hoster Hetzner bietet noch kein DNSSEC an, sodass ich mich nach einer Alternative umgesehen habe und zunächst auf das Unternehmen OVH aus Frankreich gestoßen bin. OVH hat allerdings beim Support ganz klar versagt und auch sonst konnten die Leistungen von OVH nicht überzeugen, sodass ich nach nur wenigen Stunden bei OVH erneut auf der Suche nach einem Hoster war, der mir DNSSEC anbietet.
Nachdem ich mich hier im Blog über den OVH Support beschwert hatte, wurde mir in den Kommentaren Core Networks vorgeschlagen. Das war genau der richtige Tipp! Danke dafür!
Ich habe core-networks.de sofort ausprobiert und zum Testen zuerst nur eine Domain übertragen. Nachdem sich innerhalb kürzester Zeit herausgestellt hatte, dass die Leute von Core Networks wissen, wie guter Support geht, bin ich nun auch mit allen anderen Domains bei dem Unternehmen aus Eltville am Rhein.
Die erste Zahlung erfolgt dort via PayPal oder Banküberweisung. Erst danach kann das Lastschriftverfahren als künftige Zahlungsmethode gewählt werden. Da ich absolut kein Freund von PayPal bin, habe ich die Banküberweisung gewählt. Leider braucht eine Banküberweisung ihre Zeit. Da ich core-networks.de trotzdem zeitnah ausprobieren wollte, habe ich kurzerhand den Support via E-Mail kontaktiert und nachgefragt, ob man mir meinen Account nicht schon vorzeitig freischalten könne, wenn ich meine Banküberweisung mit einem Beleg nachweisen könne. Den Überweisungsbeleg habe ich als PDF in meine OwnCloud gepackt, im Support-Ticket verlinkt und abgeschickt. 9 Minuten später war mein Account freigeschaltet. Sehr schön!
Nachdem ich von OVH den AuthCode erhalten hatte (tatsächlich ist das gar nicht so einfach), wurde die .de Domain rasch übernommen und DNSSEC automatisch aktiviert.
Das Core Networks Webinterface. Nicht besonders schön, tut aber seinen Job.
Um in Zukunft die Domains bequem über das Lastschriftfahren bezahlen zu können, habe ich das passende Formular von Core Networks ausgefüllt, wieder in die OwnCloud gepackt und dem Support geschrieben. Auch die Umstellung auf das neue Zahlungsverfahren lief reibungslos und schnell ab. 8 Minuten später war das Zahlungsverfahren umgestellt.
Nun war ich von meinem neuen Domain-Hoster vollkommen überzeugt und habe auch alle anderen Domains zu zu ihm übertragen. Bei der Einrichtung eines SRV-Records für eine meiner Domains habe ich einen Fehler in der Verwaltungsoberfläche von Core Networks entdeckt, der sich darin äußerte, dass kein SRV-Record für die Domain an sich generiert werden konnte, sondern nur für Subdomains. Den Fehler habe ich über ein Support-Ticket gemeldet. 3 Minuten (!) später war der Fehler in der Software behoben.
Das Webinterface kann zwar nicht durch sein Aussehen punkten, tut aber seinen Job. Die Schriftgröße habe ich in meinem Browser erhöht, weil eine Bedienung wegen der sehr klein geratenen Seitenelemente sonst schwierig gewesen wäre. Assistenten für verschiedene Record-Typen (z.B. MX und SRV) werden auch angeboten. Leider habe ich keine Möglichkeit gefunden, einmal erstellte Records zu bearbeiten (z.B. um die TTL zu ändern). Es gibt jedoch eine „Kopieren“-Funktion, über die man den alten Record kopieren und dann bearbeiten kann. Eine „Bearbeiten“-Funktion ist inzwischen verfügbar. Sehr schön!
Zum Thema DNSSEC sei erwähnt, dass das Feature bisher nur bei .de-Domains automatisch aktiviert werden kann. Für alle anderen TLDs gilt: Support kurz anschreiben. Für zwei .net Domains habe ich mir DNSSEC über den Support aktivieren lassen. Zurück kam ein Hinweis, dass DNSSEC beim .net Registrar nicht automatisch beantragt werden kann, sondern manuell über den Registrar-Support angefragt werden muss. Daher könnte der Vorgang einige Werktage dauern. Damit kann ich aber leben.
Nach dem katastrophalen Support und den ständigen Verzögerungen bei OVH bin ich froh, einen kompetenten Domain-Hoster gefunden zu haben, der zwar nicht zu den günstigsten zählt – dafür aber weiß, wie wichtig guter Kundenkontakt und Kundenbetreuung ist. Dafür zahle ich dann auch gerne ein paar Euro mehr im Jahr.
Hier mit ausdrücklich Daumen hoch für Core Networks!
Hi!
Könntest du eventuell auch einen kurzen Artikel über die Arbeitsweise mit DNSSEC und core-networks.de machen? Wo trage ich die Schlüssel ein? Wie wird signiert? Muss man den private key an core-networks.de übermitteln und die machen das alles, oder kann man das selber machen…
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi,
ich bin mir noch nicht sicher, ob es sich lohnt, einen Beitrag dazu zu schreiben. Im Grunde ist das ziemlich trivial: Bei .de Domains wird DNSSEC direkt aktiviert, bei anderen Domains schreibt man den Support an. Das wird alles übernommen. Um Keys etc muss man sich nicht kümmern. Für DANE braucht es dann noch einen TLSA-Record. Den kann man bei Core Networks über einen Assistenten generieren: Einfach Public TLS Cert einfügen, „generieren“ klicken, fertig. ;)
Ob man auch eigene Certs für DNSSEC benutzen kann bzw wie das damit abläuft, weiß ich nicht. Wenn dich das interessiert, kannst du dich ja mal beim Core Networks Support melden ;)
LG Thomas
https://www.core-networks.de
Hallo,
es gibt zwei Modi in denen eine Zone laufen kann.
Entweder als Master-Zone. In dem Fall muss man sich um DNSSEC im Prinzip gar nicht kümmern. Man nutzt das, nicht so hübsche (wird wenn die neue Homepage fertig ist geändert), Webinterface zur Konfiguration von DNS-Records, die dann automatisch signiert werden. Hierzu ist es notwendig, dass die privaten Schlüssel vorliegen. Da allgemein davon abzuraten ist private Schlüssel auf irgendeinem Weg zu übertragen wenn es vermeidbar ist, ist die Verwendung eigener Schlüssel nicht möglich. Es werden standardmäßig RSASHA256 Schlüssel mit 2048 Bit genutzt. Das kann aber auch über den Support geändert werden wenn gewünscht.
Alternativ kann die Zone im Slave-Modus laufen, hier muss ein primärer Nameserver mit fester IP-Adresse existieren der sich um die Schlüssel sowie die Signierung kümmert.
Interessant, ich habe das gleiche bei domain-offensive versucht. Dort kann man mir zwar einen Key hinterlegen, ich muss diesen allerdings selber liefern. Für jede weitere Änderung wird Geld für die Techniker verlagt.
Da ist das ganze natürlich direkt komplizierter. Insb. frage ich mich, ob ich den hinterlegten Key immer ändern muss, sobald sich mein Let’s Encrypt Zertifikat erneuert?
LG
DIe Firma scheint auch auf Kunden „kritik“ einzugehen, siehe zb. https://www.core-networks.de/news/17/Neue_Funktion__DNS-Record_bearbeiten das bearbeiten geht nun.
Bin derzeit noch bei inwx.de die haben eine nette api aber leider kein dnssec
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Tatsächlich. Das habe ich noch gar nicht bemerkt. Danke für dein Hinweis!
LG Thomas