Ich muss einige Domains mit Ländercode-Domain-Endungen registrieren, habe jedoch festgestellt, dass diese TLDs (A) IPv6 oder (B) DNSSEC offiziell nicht unterstützen ... Welche Einschränkungen oder Fallstricke sollte ich aufgrund dessen erwarten?
(A) Keine IPv6-Unterstützung für TLD
Ich weiß, dass dies bedeutet, dass ich der Domain keinen AAAA-Eintrag hinzufügen kann. Was bedeutet dies für die Erreichbarkeit / Kompatibilität / Sichtbarkeit von anderen IPv6-fähigen DNS-Servern?
(B) Keine DNSSEC-Unterstützung für TLD
Ich verstehe, dass DNSSEC für die Authentifizierung der DNS-Auflösung irgendwie wichtig ist, habe aber keine Ahnung, ob / wie sich die Implementierung (oder das Fehlen davon) auf mich als Anwendungsentwickler in Bezug auf die Sicherheit auswirkt.
HINWEIS: Bitte verzeihen Sie diese möglicherweise rudimentäre Frage eines verwöhnten LAMP-, MEAN-, Front-End- und nativen mobilen Entwicklers, der selten Entscheidungen zur Netzwerkarchitektur treffen musste, die sich um die oben genannten Punkte drehen. Danke im Voraus!
AAAA-Datensätze können sowohl von IPv4- als auch von IPv6-Resolvern bereitgestellt werden. Sie können Ihrer Domain IPv6-Adressen hinzufügen, die dann zugestellt werden. Personen mit nur IPv6-Resolvern (von denen ich glaube, dass sie relativ selten sind) können Ihre Domain auf keinen Fall auflösen.
Die Standardumgehung für DNSSEC ist die Verwendung von DLV (DNSSEC Lookaside Validation). Dies wurde lange Zeit verwendet und war die einzige Möglichkeit, eine Reihe von TLDs für eine lange Zeit zu validieren. Wenn TLD-Anbieter DNSSEC-Unterstützung hinzufügen, verschwindet die Anforderung DLV für diese TLDs.
Die allgemeine Akzeptanz von IPv6 und DNSSEC war sehr langsam. Wo ich bin, benötige ich immer noch einen IPv4-Tunnel, um IPv6-Konnektivität zu erhalten.
quelle
won't be able to resolve your domain in any case
hier zu interpretieren?Wenn die TLD keine
AAAA
Einträge für die Nameserver-Adressen unterstützt, was nicht bedeutet, dass Sie keineAAAA
Einträge für Ihre zugrunde liegenden Dienste haben können, bedeutet dies nur, dass Benutzer IPv6 nicht für das DNS-Protokoll selbst verwenden können, um Ihren Dienst nachzuschlagen Adressen.Es ist eine völlig normale Konfiguration (siehe BCP 91, auch bekannt als RFC 3901 ), nur IPv4-Nameserver in der Domänenregistrierung aufzulisten, wobei diese Nameserver
AAAA
Datensätze für Einträge in Ihrer Domäne veröffentlichen. An diesem Punkt wird nichts kaputt gehen - eine reine IPv6-Verbindung (ohne NAT64) ist so gut wie unbrauchbar.Für DNSSEC unterstützen die meisten ccTLDs dies bereits, und von denen, die nicht viele planen oder sich bereits in der Mitte der Implementierung befinden, obwohl Afrika das Hauptanliegen ist. Die neueste ISOC-Karte von vor ein paar Tagen zeigt dies:
quelle
Ein bescheidener pragmatischer (aber zugegebenermaßen weniger präziser oder dauerhafter) Leitfaden:
Wenn Sie sich in der oben genannten Situation befinden und aus irgendeinem Grund mit den betreffenden TLDs fortfahren MÜSSEN ...
(A) Keine IPv6-Unterstützung für TLD
Ab diesem Beitrag (Januar / 2016) ist IPv4 alles andere als veraltet, sodass die praktischen Auswirkungen auf die allgemeine Auffindbarkeit minimal sein sollten. Aufgrund der Ungenauigkeit dieser Annahme kann es jedoch immer noch Zeiten geben, in denen die Verwendung einer bestimmten TLD aus Gründen des Brandings oder der Erfassung / Übertragung von TLDs in großen Mengen usw. unvermeidbar ist.
(B) Keine DNSSEC-Unterstützung für TLD
Da DNSSEC-fähige Resolver digitale Signaturen prüfen, bevor eine Anfrage in einem zusätzlichen Aufwand (ähnlich wie bei SSL) zur Verhinderung von MITM-Angriffen bearbeitet werden kann, ist es nicht ratsam, sie zu übersehen. Wenn Ihre TLD dies derzeit nicht unterstützt ...
Also, ähnlich wie (A) oben ...
quelle
Das ist falsch. Die Inkompetenz der Domänenregistrierung hat keinen Einfluss auf die Datensatztypen, die Sie verwenden können (es sei denn, sie zwingen Sie, ihre Server als maßgebliche Namensgeber zu verwenden. In diesem Fall würde ich vorschlagen, weit wegzulaufen).
Wenn die Zone für das tld nicht über IPv6 verfügbar ist, können nur IPv6-Resolver die Domäne nicht auflösen.
Wenn die Zone für das tld über ipv6 verfügbar ist, Sie jedoch keine IPv6-Kleberaufzeichnungen bereitstellen können, werden die Dinge komplexer. Wenn sich Ihr Nameserver unter der betreffenden Domäne befindet, wird ein IPv6-Klebedatensatz benötigt, um nur IPv6-Resolver zu unterstützen. Wenn sich Ihr Nameserver unter einer anderen Domain befindet, werden für Ihre Domain keine Klebedatensätze benötigt (obwohl sie offensichtlich für eine Domain benötigt werden).
Dual-Stack-Resolver sollten in jedem Fall in Ordnung sein. Es besteht die Möglichkeit, dass die meisten DNS-Resolver auf absehbare Zeit IPv4-fähig sind (entweder Dual Stack oder nur v4).
Dnssec soll einen Mechanismus bereitstellen, um zu überprüfen, ob die von Ihnen empfangenen Datensätze echt sind. jedoch
DNSSEC mit DANE ist ein potenzieller zukünftiger Ersatz oder eine Ergänzung zum aktuellen CA-System. Das aktuelle CA-System ist aus Sicherheitsgründen sehr fehlerhaft, da Sie effektiv nur so sicher sind wie die schlechteste CA.
Sie sagen nicht, welche Art von Anwendungen Sie entwickeln. Wenn es sich um eine Client-App handelt, die mit einem Server kommuniziert, den Sie besitzen, sollten Sie Ihre Verbindungen mithilfe von tls mit einer privaten Zertifizierungsstelle sichern.
Für Webapps ist das öffentliche CA-System (so beschissen es ist) wirklich die einzige Option. Möglicherweise möchten Sie HKP in Betracht ziehen, um das Risiko von falsch ausgestellten Zertifikaten zu verringern. Ein funktionierendes DNSSEC / DANE würde eine bessere Sicherheit bieten, aber nur für die wenigen Clients, die es tatsächlich unterstützen.
Wenn Sie ein eigenes Protokoll entwerfen, das die Verwendung von Arbitary-Servern ermöglicht, sollten Sie in Betracht ziehen, ein mit hkp gleichwertiges Protokoll aufzunehmen.
quelle