DANE ist ein noch rar gesätes Protokoll, das Domainnamen mit einem oder mehreren TLS-/SSL-Zertifikaten verknüpft. Durch das DNS wird dem Client diktiert, welche Sicherheitszertifikate für eine Domain gültig sein sollen. Hintergrund ist, dass jede große, anerkannte CA der Welt (und davon gibt es hunderte) theoretisch für jede Domain gültige TLS-Zertifikate ausgeben kann. Dass das viel Spielraum für Manipulation und Missbrauch bietet, liegt auf der Hand. Indem man im DNS Informationen dazu ablegt, welche einzelnen Zertifikate oder Zertifizierungsstellen (CAs) für die Domain genutzt werden dürfen, kann man die Sicherheit signifikant verbessern. Normalerweise wird DANE in Kombination mit DNSSEC (Internetstandard zur Absicherung von DNS-Zonen) eingesetzt. Prinzipiell ist DNSSEC für die Nutzung von DANE nicht zwingend erforderlich. Es stellt sich jedoch die Frage, ob es sinnvoll ist, DANE Informationen in einer nicht manipulationssicheren Zonendatei unter zu bringen … besser ist es, DANE mit aktiviertem DNSSEC zu nutzen.
DANE und TLSA DNS Records erklärt
Meine Erfahrungen mit core-networks.de
Wie ihr vielleicht schon durch diesen Blog mitbekommen habt, war ich kürzlich auf der Suche nach einem neuen Provider für meine Domains. Mein bisheriger Domain-Hoster Hetzner bietet noch kein DNSSEC an, sodass ich mich nach einer Alternative umgesehen habe und zunächst auf das Unternehmen OVH aus Frankreich gestoßen bin. OVH hat allerdings beim Support ganz klar versagt und auch sonst konnten die Leistungen von OVH nicht überzeugen, sodass ich nach nur wenigen Stunden bei OVH erneut auf der Suche nach einem Hoster war, der mir DNSSEC anbietet.
Nachdem ich mich hier im Blog über den OVH Support beschwert hatte, wurde mir in den Kommentaren Core Networks vorgeschlagen. Das war genau der richtige Tipp! Danke dafür!
Meine Erfahrungen mit OVH
Vor ein paar Tagen habe ich eine meiner .de Domains zum Hoster OVH umgezogen, um dort das DNSSEC Feature für die Domain testen zu können. Leider habe ich mit OVH alles andere als gute Erfahrungen gemacht und möchte euch daher davon berichten.
Angefangen hat der Ärger direkt bei der Bestellung / Übertragung der Domain. Das Webinterface zur Bestellung war zum Zeitpunkt meiner Bestellung an einigen Stellen fehlerhaft und funktionierte nicht so, wie man sich das erwartet hätte: Defekte Buttons, französische Texte, die nicht übersetzt wurden, nicht reagierende Seitenelemente. Nachdem ich nach einigen Versuchen und Umwegen doch noch die Bestellung absetzen konnte, musste zuerst eine Zahlungsmethode freigeschaltet werden, bevor ich meinen Account nutzen konnte. Ich entschied mich für Lastschrift, und fragte den Support, ob ich ihnen einfach ein Foto meines Formulars zukommen lassen könne. Auf eine Antwort auf diese einfache Frage musste ich auf den nächsten Tag warten: Um kurz vor 16:00 Uhr habe ich das Ticket eröffnet – am nächsten Tag um 11:17 war die Antwort da: „Ja, das ist möglich.“. Angesichts der einfachen Frage hat mich die Wartezeit dann zum ersten Mal am Support zweifeln lassen. Nachdem ich die Aufnahme geschickt hatte, wurde das Lastschriftverfahren schließlich eine Stunde später aktiviert. Immerhin.