Pagina 1 van 1

Zelf DNSSEC configureren

Geplaatst: 06 jul 2017, 18:48
door ASS-Ware
Hoi,

Als je bij provider X een domeinnaam claimt en de nameservers van die provider gebruikt, dan regelt provider X de DNSSEC configuratie.
Als je bij provider X een domeinnaam claimt en de nameservers van Antagonist gebruikt, dan moet je dat zelf doen.

Hoe kom ik er achter wat ik dan moet instellen?

Re: Zelf DNSSEC configureren

Geplaatst: 07 jul 2017, 09:32
door Joris de Leeuw
Hallo,

Bij alle domeinnamen welke via Antagonist worden geregistreerd en gebruik maken van ons hostingplatform wordt DNSSEC automatisch geactiveerd. Dit proces werkt volledig op de achtergrond, zodat je als klant deze zeer ingewikkelde en complexe materie niet zelf hoeft te begrijpen of in te stellen.

Op deze manier voorkomen we dat door het per abuis incorrect instellen van DNSSEC je gehele domeinnaam niet bereikbaar is.

Indien je een domeinnaam via een derden naar Antagonist verwijst naar Antagonist is DNSSEC in dit geval niet beschikbaar. Dit gezien wij geen toegang hebben over domeinnamen bij derden en hierdoor DNSSEC ook niet automatisch correct voor je de configuraties kunnen uitvoeren.

Op dit moment ondersteunen we daarbij nog niet dat je DNSSEC handmatig instelt of aanpast, dit gezien ons proces op dit moment geheel is geautomatiseerd om er voor te zorgen dat dit dus altijd foutloos werkt. Het handmatig aanpassen/configureren staat wel als wens genoteerd, maar op dit moment hebben we hier verder nog geen concrete plannen over.

Mocht DNSSEC dus voor je een harde eis zijn kan je het beste zowel de domeinnaam als website bij Antagonist onderbrengen. Dan zorgen wij ervoor dat alles 100% correct werkt.

Nadere toelichting over hoe DNSSEC exact bij Antagonist werkt is te lezen op:
- https://www.antagonist.nl/blog/2015/01/ ... ntagonist/

Re: Zelf DNSSEC configureren

Geplaatst: 07 jul 2017, 15:10
door ASS-Ware
Joris de Leeuw schreef:Op dit moment ondersteunen we daarbij nog niet dat je DNSSEC handmatig instelt of aanpast
Dat snap ik, maar ik bedoel eigenlijk dat provider X het ondersteunt.
Ik heb een domeinnaam geclamid bij provider X, de nameservers van Antagonist opgegeven en host het domein in mijn resellerpakket bij Antagonist en kan bij provider X zelf de DNSSEC records aanmaken.

Re: Zelf DNSSEC configureren

Geplaatst: 10 jul 2017, 10:17
door Joris de Leeuw
DNSSEC is een samenwerking tussen nameservers en het registry welke de domeinnaam beheert. Dit proces is bij Antagonist geheel geautomatiseerd. Het door jou geschetste scenario is dus niet op dit moment mogelijk.

Dit omdat je zelf geen wijzigingen kunt maken aan dit automatische proces. Op deze manier voorkomen we dat binnen de werking van DNSSEC per abuis fouten kunnen worden gemaakt. Het onbereikbaar maken van je domeinnaam is namelijk het laatste wat je wilt.

Mocht DNSSEC een harde eis zijn heb je dus voor nu de volgende opties:

Optie 1. Je domeinnaam bij Antagonist onderbrengen en verwijzen naar het resellerpakket. Wij stellen DNSSEC geheel automatisch voor je in.
Optie 2. Je domeinnaam bij provider X houden, maar ook de nameservers van provider X gebruiken. Belangrijk is dat je zelf (handmatig) dient na te gaan of DNSSEC correct werkt en dit dus enorm veel technische kennis vereist.

Re: Zelf DNSSEC configureren

Geplaatst: 10 jul 2017, 14:18
door ASS-Ware
Toch gek, want provider X geeft aan:

Wanneer u gebruik maakt van DNS beheer via uw X klantenpaneel, dan stellen wij automatisch DNSSEC voor uw domeinnaam in. Wanneer u gebruik maakt van eigen nameservers, dan kunt u via deze pagina uw eigen DNSSEC keys toevoegen. U bent zelf verantwoordelijk voor het invoeren van de juiste DNSSEC keys. Wanneer u onjuiste DNSSEC keys toevoegt kan uw domeinnaam onbereikbaar worden.

Re: Zelf DNSSEC configureren

Geplaatst: 10 jul 2017, 15:20
door Joris de Leeuw
DNSSEC is een samenwerking tussen meerdere systemen. In jouw gewenste situatie gaat het om het volgende:

Punt 1. De partij waar jij je domeinnaam hebt geregistreerd. In dit geval provider X
Punt 2. De partij waar de nameservers staan. In dit geval Antagonist.

Je gewenste scenario is in dit geval helaas niet mogelijk.

De betreffende DNSSEC keys dien je in dit geval binnen onze nameservers handmatig aan te maken en te configureren (punt 2). Dit is dus iets wat wij op dit moment niet ondersteunen. Ons gehele proces is geautomatiseerd zodat klanten niet in deze enorm technische materie dienen verdiepen.

Kortom je kan niet zelf handmatig juiste keys aanmaken en configureren (punt 2), waardoor je deze niet aan provider X kan geven (punt 1).

Zoals ik eerder aangaf staat dit als wens genoteerd, echter hebben we nog geen concrete plannen wanneer we dit uitrollen. Als we iets doen bij Antagonist, dan doen we het namelijk goed. Dit betekent dat enorm complexe materie als DNSSEC gemakkelijk configureerbaar moet zijn. Daarom kiezen we er nu ook voor dit proces geheel automatisch te laten lopen bij domeinnamen die geregistreerd zijn via Antagonist.

Mochten er nog onduidelijkheden zijn over de werking van DNSSEC en de mogelijkheden die nu via Antagonist worden ondersteund, stuur dan gerust een e-mail naar support@antagonist.nl. Dan lichten we het graag specifieker toe op jouw situatie.

Re: Zelf DNSSEC configureren

Geplaatst: 22 jan 2020, 23:33
door brt
inmiddels zijn we ruim 2,5 jaar verder en DNSSEC is common sense. Elke DNS provider heeft dit praktisch geautomatiseerd. Alleen om daar gebruik van te maken dient er wel een DS record bij de registrar aangemaakt te worden.

De reden dat dit m.i. nodig is om via certbot een wildcard automatisch te renewen. Daarvoor dient certbot het token naar een txt record in de DNS zone kunnen schrijven. Voorzover ik na kan gaan hebben jullie geen API waar hiervoor gebruikt gemaakt van kan worden. Ik wil het domein daarom nu bij Cloudflare onderbrengen, maar wil wel DNSSEC kunnen blijven gebruiken.

Wat is op dit moment jullie oplossing hiervoor?

Re: Zelf DNSSEC configureren

Geplaatst: 28 jan 2020, 15:28
door Joris de Leeuw
Beste Brt,

Zoals ik je mogelijk al in een reactie per ticket hebt verteld is het makkelijkste de DSNS automatisch te bewerken via API: https://www.directadmin.com/features.php?id=504

Daarnaast kan je overwegen de website bij ons onder te brengen. Dan zorgen wij er automatisch voor dat SSL en DNSSEC werkt.