DNSSEC DS record herkomst traceren - Internet en hosting

woensdag 4 november 2015 21:47

Acties:

0 Henk 'm!

Topicstarter

Ik heb een domein dat is verhuisd naar een andere hosting partij.

De originele hosting ondersteunt DNSSEC en het domein is/was signed. De nieuwe hosting ondersteunt echter geen DNSSEC.

Het DS record blijkt echter nog altijd actief te zijn, dit geeft problemen.

Ik probeer nu het DS record te laten verwijderen. Maar de nieuwe hosting meldt dat het DS record nooit is overgenomen en ik dus bij de vorige hoster moet zijn.

De oude hoster meldt dat alle instellingen na een 2 weken automatisch worden geschoond, dit is voor het domein nogmaals bevestigd door de technische support. Zij melden hier geen enkele controle meer over te hebben en draaideuren mij door naar de nieuwe hosting, zucht.

Met een dig komt het DS record naar voren. Wat kan ik doen om partij A of partij B ervan te overtuigen dat zij toch wel de controle hebben en moeten handelen.

Is het mogelijk om voor een DS record te achterhalen van welke registrar deze afkomt?

woensdag 4 november 2015 22:06

Acties:

+1 Henk 'm!

Xudonax

Zit er niet gewoon een (erg) lange TTL op het DS record? Als je toch al met DIG aan het spelen bent dan moet je dat ook kunnen zien. Als ik bijvoorbeeld dig los laat op sidn.nl:

code:

$ dig sidn.nl IN DNSKEY

; <<>> DiG 9.9.5-9-Debian <<>> sidn.nl IN DNSKEY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33250
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;sidn.nl.                       IN      DNSKEY

;; ANSWER SECTION:
sidn.nl.                21599   IN      DNSKEY  256 3 8 AwEAAbjldpe4GB8sn+MWifCAup9RB34jjUimwi4DD59ZUSS1fO8QfpXT YWyF9QVFlpiVHxTZojKO2CAOiS3pz9GCn3ICjEjzjg6OSLFFMjT/X3gn 3kRK9IXhjT+tNsBC5pfS5di4SIf6dq0ms5iI3YLzV2n6CsZsQziAUdM8 mpSOFWqx
sidn.nl.                21599   IN      DNSKEY  257 3 8 AwEAAc31XDE3QWphFz6CR77Hp3ZjDRx7zqe1AXx1QMvqFKzrEKrX4oj2 nv8zDquCotbQ1ObHI4KGLRf3ycaq0fYslXFJ1JxLxJUl/lpGvE8Okqdh GW3vj3YS9Mlbf0yYC2bNUY875UgDNRLqWtVSEXO/PCcqr3RIzpngu+6J F/1bfQB7ituFHxoanhAiWOpc24ZAnrhmyIsDwyy1k0iyvVTSyPugnYD/ bF7CR7ObQCiuucjwCkK2KS52bcihHvyPDU/DlsSJeEO/G31zFxzXwHjr 3h3mdJE4mQuceS11e5/c9hht6rUL0PEGve1Ygknz+0ruAinlhFYnny2u xES5M9r0FIM=

;; Query time: 44 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Nov 04 22:04:38 CET 2015
;; MSG SIZE  rcvd: 460

De TTL is in dit geval 21599 seconden, oftewel ~6 uur. Welke waarde staat er bij jou?

EDIT: Als ik query op de DS key dan zegt dig:

code:

$ dig sidn.nl IN DS

; <<>> DiG 9.9.5-9-Debian <<>> sidn.nl IN DS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53601
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;sidn.nl.                       IN      DS

;; ANSWER SECTION:
sidn.nl.                7199    IN      DS      39274 8 2 8E8A8CFB40FD0C30BFA82E53752E1C257DAFB7B6206D12B9EDA43AF3 EAB2157D

;; Query time: 35 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Nov 04 22:06:19 CET 2015
;; MSG SIZE  rcvd: 84

Een TTL van 7199 is zo uit mijn hoofd ongeveer 2 uur en 30 minuten, give or take een minuut of 8.

[ Voor 21% gewijzigd door Xudonax op 04-11-2015 22:07 ]

woensdag 4 november 2015 22:39

Acties:

0 Henk 'm!

koelele

Topicstarter

Ik ben pas sinds kort aan het spelen met dig, maar als ik een pure ds dig uitvoer zoals in jouw voorbeeld, dan komt er geen ds record naar voren.

Tot nu voerde ik een dig +trace uit waarbij ik in de resultaten dan het ds record terugzie met een ttl van 86400, dus een dag.

Begrijp niet helemaal wat dit nu betekent. Maar tot nu toe heb ik enkel geconstateerd dat het bestaat, en er verder niks mee kunnen doen, dus een schoning is vooralsnog nooit opgestart.

Vind je het erg als ik jou het domein toestuur?

donderdag 5 november 2015 11:45

Acties:

+1 Henk 'm!

PerfectPC

Die DS record komt van bij SIDN. Je moet dus aan een van beide registrars vragen die te (laten) verwijderen, al kan dat wel ingewikkeld eorden want je nieuwe registrar heeft geen kaas gegeten van DNSSEC en je bent al vergeten bij je oude. Eigenlijk is dit dus een foutje bij SIDN, zij zouden bij een transfer/trade de DS record automatisch moeten verwijderen.

donderdag 5 november 2015 13:40

Acties:

0 Henk 'm!

koelele

Topicstarter

Ja het is voor mij behoorlijk omslachtig gebleken, het probleem staat nog uit.

De vorige hosting was op zich behulpzaam, geen klachten, heb daar wel nog altijd diensten draaien, dat zal helpen.

Maar het lijkt toch volledig op het bord van de nieuwe hosting te liggen. Wat je zegt lijkt ook inderdaad de situatie de support bij registrar heeft nu via mijn hoster aangegeven dat zij het DS record gaan schonen.

Nog even wachten en dan is het hopelijk geklaard.

donderdag 5 november 2015 13:43

Acties:

0 Henk 'm!

xares

Via de sidn.nl whois kan je kijken of er nog een DS record aanwezig is (DNSsec ja of nee)

donderdag 5 november 2015 14:02

Acties:

0 Henk 'm!

Dutch_Celt

Jollygood

PerfectPC schreef op donderdag 05 november 2015 @ 11:45:
Eigenlijk is dit dus een foutje bij SIDN, zij zouden bij een transfer/trade de DS record automatisch moeten verwijderen.

Niet zozeer een fout van SIDN, lijkt mij.
SIDN heeft prima opties om bij verhuizingen van domeinen de DNSSEC standaard niet over te nemen.
Echter is dit wel een optie die vanuit de registrar ingesteld dient te worden bij SIDN.

Voor de volledigheid, de optie 'Behouden DNSKEY's' uitvinken in drs (registratie systeem SIDN).

Daarnaast kun je als registrar vanuit het zelfde drs systeem per domein de DNSSEC inregelen of verwijderen.

[ Voor 8% gewijzigd door Dutch_Celt op 05-11-2015 14:04 ]