Feature-Vorschlag: Domainrating für DNSSEC und DANE

[Fabian]

Hallo zusammen,

wie aus der Überschrift schon zu entnehmen ist, möchte ich anregen die Domainbewertung um DNSSEC (A+) und DANE eingehend/ TLSA (A++) zu erweiterten.
(Nachdem man es selbst erst vorkurzem umgesetzt hat )

Kriterien:
A+: Die Domain ist via DNSSEC abgesichert
A++: Ein gültiger TLSA-Eintrag für den MX-Host vorhanden. Prüfung des TLSA-Eintrages gegen des am MX bereit gestellten Zertifikates

Beispiel an der bestehenden Tabelle:

Feld	Beschreibung	Zustand
A++	Überwältigend/ Perfekt	Einrichtung von DANE für den Empfang abgeschlossen
A+	Hervorragend/ überragend	Einrichtung von DNSSEC abgeschlossen
A	Exzellent	Einrichtung von DMARC/SPF/DKIM abgeschlossen
B	Gut	Einrichtung von DKIM und SPF abgeschlossen, aber DMARC-Policy p=none
C	Befriedigend	DKIM-Einrichtung und grundlegende SPF-Einrichtung abgeschlossen oder SPF-Einrichtung abgeschlossen aber kein DKIM
D	Ausreichend	Nur DKIM oder einfache SPF-Einrichtung abgeschlossen
E	(Fast) ausreichend	Ausschließlich DMARC-Reporting aktiviert (kein SPF oder DKIM)
F	Nicht ausreichend	Nichts konfiguriert

LG
Fabian

 

[Sören]

Dagegen (vorerst)

Im Gegensatz zu SPF, DKIM und DMARC wo ich immer in der Lage bin in der DNS Zone den Eintrag zu setzen, bin ich bei DNSSEC und DANE komplett vom Provider abhängig und kann das nicht mal eben so einfach einrichten.
Ich selbst bin mit meinem Zoo an Domains bei Namecheap, die können zwar DNSSEC, machen aber kein TLSA... sprich, ich habe es nicht in der Hand.

Klar kann ich den Provider wechseln, aber gerade in großen Unternehmen, macht man das nur sehr sehr ungern...vor allem wenn nur dieser eine Usecase abgedeckt werden soll.

Was noch dazu kommt, ist die wahnsinnig schlechte Verbreitung von DNSSEC: dass hier ist eine Grafik aller meiner DNS Requests von allen Geräten im Haus der letzten 30 Tage (317.360 DNS Anfragen in 7 Tagen):



Da hat sich schon mal etwas gesteigert, vor 3 Jahren waren es noch 12.5% ...aber wenn man bedenkt wie alt die RFC zu DNSSEC und DANE ist, ist das einfach nur traurig. Technologie dahinter ist natürlich top...

Daher würde ich zumindest jetzt noch nicht in die Bewertung einfließen lassen. Grundlegend ist die Idee aber gut... ich bin gespannt was andere dazu denken

 

[869288141]

Hallo zusammen,

wie aus der Überschrift schon zu entnehmen ist, möchte ich anregen die Domainbewertung um DNSSEC (A+) und DANE eingehend/ TLSA (A++) zu erweiterten.

A+ und A++. Ist das mit einer Note im Schulsystem von 1+ gleich zu setzen?

A+: Die Domain ist via DNSSEC abgesichert
A++: Ein gültiger TLSA-Eintrag für den MX-Host vorhanden. Prüfung des TLSA-Eintrages gegen des am MX bereit gestellten Zertifikates

Der Vorschlag, eine Bewertung wie „A+“ für DNSSEC zu vergeben, erscheint mir nicht ganz nachvollziehbar. Meiner Meinung nach sollte eine Grundfunktion wie DNSSEC als Standardanforderung betrachtet werden, statt sie zusätzlich zu bewerten oder zu „belohnen“.

Im Gegensatz zu SPF, DKIM und DMARC wo ich immer in der Lage bin in der DNS Zone den Eintrag zu setzen, bin ich bei DNSSEC und DANE komplett vom Provider abhängig und kann das nicht mal eben so einfach einrichten.

Eine höhere Bewertung könnte sicherlich etwas Bewegung in das Thema bringen. Allerdings wissen viele Postmaster oft nicht einmal, was DMARC oder DANE ist. Da dürften DNSSEC und TLSA für die meisten noch größere Herausforderungen darstellen. Wenn ich sehe, wie viele Anfragen allein bei meinem Arbeitgeber wöchentlich über die Postmaster-Adresse eingehen, ist es eigentlich ein kleines Wunder, dass die Firmen überhaupt noch E-Mails zuverlässig verschicken können.

Die Vergangenheit zeigt, dass meist Druck von den großen Anbietern nötig ist, damit sich neue Standards wirklich durchsetzen. Ich mach gleich ne Mail an Marissa, Satya, und Sundar fertig...

Ich selbst bin mit meinem Zoo an Domains bei Namecheap, die können zwar DNSSEC, machen aber kein TLSA... sprich, ich habe es nicht in der Hand.

Aua. Geheimtipp: INWX & deSEC.

Klar kann ich den Provider wechseln, aber gerade in großen Unternehmen, macht man das nur sehr sehr ungern...vor allem wenn nur dieser eine Usecase abgedeckt werden soll.

Die Unternehmen, bei denen ich Einblick habe, betreiben in der Regel einen autoritativen DNS-Server für ihre Zonen im Rechenzentrum. Dieser fungiert nach außen oft als Hidden Primary DNS. Für die Bereitstellung der DNS-Informationen an Endnutzer wie dich und mich kommen hingegen spezialisierte DNS-Anbieter mit Funktionen wie Anycast zum Einsatz. Damit verbunden auch ein eigenes Team, welches den ganzen Tag nichts anderes macht.

Daher habe ich bis dato vermutet, dass es die Kleinen und KMU sind, welche den Arsch nicht hochbringen.


Gruß,
Daniel