Kammerat Adam

DNSSEC på kammeratadam.dk #dns #net

🕖︎ - 2019-11-30

Inspireret af reklamen for one.com på Version2, fordi firmaet egenhændigt har gjort udbredelsen af DNSSEC i .dk væsentligt større, begyndte jeg at kigge på at sætte DNSSEC op for mine domæner.

Jeg kører DNS for mine domæner selv - med en DNS server på min hjemmeserver, en på en lille VPS hos Linode og endnu en på en lille VPS hos Digital Ocean.

Jeg har gjort nogle tilløb før, men var ikke rigtigt kommet længere end at læse nogle artikler om hvor godt og vigtig det er - uden at finde en konkret vejledning.

Denne gang fandt jeg en meget konkret og ligetil guide: DNSSEC Howto for BIND 9.9+.

Det eneste jeg gjorde anderledes var at alle mine zone-filer allerede lå i /etc/bind, og jeg gad ikke at flytte dem, så jeg gav bind-gruppen skriveadgang til mappen.

(Hvis jeg havde sat mine DNS-servere rigtigt op, havde jeg kun behøvet at gøre det på en af dem, "master'en", og så havde andre andre, "slaverne", bare fulgt med. Det har jeg ikke, så jeg måtte rode lidt med at opdatere de to andre.)

Derefter loggede jeg ind i dk-hostmasters selvbetjening, hvor man skal vælge "Vis detaljer" under "Administrer" for domænet, hvorefter man kan under "DNSSEC-service" kan vælge "Hent DNSSEC nøgle(r)".

Herefter kan man vælge hvilke af de nøgler der er i ens DNS-opsætning dk-hostmaster skal bruge. Jeg fravalgte SHA1-nøglen og beholdt de to andre, SHA256 og SHA384.

Til sidst kan man checke om omverdenen også synes at ens DNSSEC-opsætning er god. Verisign Labs har en service, en enkelt opslag i whois er også betryggende:

$ whois kammeratadam.dk | ag dnssec
Dnssec:               Signed delegation

Hurra!

Jeg har også et par .org og .se-domæner og desværre understøtter den registrar jeg har dem hos, Svenska Domäner ikke DNSSEC. Så nu skal jeg finde en der gør, hvor jeg kan flytte dem til.

Hvis du kender en registrar der understøtter DNSSEC for .org og .se og lader mig have domænerne der uden webhotel, DNS-service og alt muligt andet - og ikke er GratisDNS, så vil jeg meget gerne høre om det.

Jeg kiggede på one.com, men det ser ud til at man skal købe DNS-service hos dem.

🕖︎ - 2019-11-30 - 1 kommentar

Klaus foreslog det norske firma Domæneshop som en registrar der understøtter DNSSEC for både .org og .se-domæner.

Til min store fornøjelse gik det fuldstændigt smertefrit at flytte mine domæner dertil fra Svenska Domäner, så siden starten af december har jeg haft DNSSEC på alle de domæner jeg administrerer. Fedt!

- Adam Sjøgren 🕑︎ - 2020-02-01

+=

Kommentér

For at undgå kommentar-spam er der mange websites der kræver at man udfylder en CAPTCHA, eller logger ind med en konto hos et firma som Twitter, Facebook, Google eller endda Microsoft GitHub.

Jeg har valgt en mere gammeldags måde at undgå spam på.

For at tilføje en kommentar, skal du:

¹ Som for eksempel Thunderbird, Pan, slrn, tin eller Gnus (indbygget i Emacs).

Eller du kan udfylde denne formular:

+=