DNSSEC für CH-Domains

DNSSECDieses Jahr müssen alle Inhaber von CH-Domains von SWITCH zu einem anderen Registrar wechseln. Den Überblick zu bekommen, was welcher der neuen CH-Registrare nun bietet ist schwierig. Marc Wäckerlin hat mit einen Preisvergleich begonnen, den ich hier um DNSSEC-Unterstützung und Reaktionsgeschwindigkeit erweitere.

Transparenz ist in einem Markt für elektronische Dienstleistungen besonders wichtig; insbesondere für Eigenschaften, die erst nach dem Kauf sichtbar werden. So wird in den meisten Fällen die DNSSEC-Unterstützung eines Registrars erst sichtbar, wenn man eine Domain bei ihm registriert hat und (möglicherweise erfolglos) versucht, einen für die Sicherheit im DNS notwendigen DS– oder DNSKEY-Record zu registrieren.

Zu diesem Zeitpunkt hat man aber die Jahresgebühr für die betroffenen Domains bereits bezahlt oder hat eine allfällige bereits bestehende DNSSEC-Einrichtung durch den Transfer verloren.

Da ich dies für meine DANE und SSHFP nutzenden DNSSEC-aktivierten Domains nicht riskieren wollte, wollte ich dies vorher geklärt haben. Dazu habe ich die Preisliste der Schweizer .CH-Registrare von Marc Wäckerlin als Basis genommen und diese nach Support für DNSSEC untersucht. Bei wenigen Registraren war die Information in einer FAQ verfügbar, die restlichen wurden mittels Supportformular oder Email angefragt.

Das bedeutet, dass alle Informationen hier rein auf Selbstauskünften der Provider basieren und von mir nicht überprüft wurden. Um so mehr bin ich auf Feedback der Community angewiesen, um diese Liste zu verbessern.

In der folgenden Tabelle stammen nur die Spalte „DNSSEC“, die Sortierung und die unterstrichenen Stellen von mir, der Rest wurde von Marc Wäckerlins Liste übernommen.

Registrar DNSSEC Preis (CHF) Bemerkungen
Q-X Webschnittstelle* 9.90 Hat den Domainbetrieb im Januar 2016 an Novatrend abgetreten.
Acribis (via INWX) Webschnittstelle 12.00
Netzone Webschnittstelle 12.90
iway.ch Webschnittstelle 14.00
Cyon Webschnittstelle 14.90
Hostpoint Webschnittstelle 15.00
Firestorm Manuell (ab Ostern Web) 13.00 1. Jahr CHF 8.00 – Lockvogel,
Folgekosten in Fussnote versteckt
switchplus.ch Manuell (Web ab 2016) 15.50
Hosttech in Arbeit 10.70
Centinated geplant (Mai)* 12.20
Novatrend geplant (April) 12.95  DNSSEC manuell (Stand Juli 2016). Haben es geschafft, anstelle des korrekten DS-Records zwei falsche einzutragen und damit die Domain für DNSSEC-aware Resolver unerreichbar zu machen.
rhone.ch geplant (diese Woche) 13.80
Amenic geplant (in den nächsten Wochen) 14.90
Infomaniak Nein 8.90
Hoststar Nein 11.90
Kreativmedia Nein 11.90
Simplehosting Nein 14.50
webland.ch Nein 14.90
Hostfactory (OptimaNet) Nein 15.00 1. Jahr gratis – sauber deklariert
Exigo Nein 15.50
Metanet ? 10.75
schweizer-domains.ch ? 12.50
Green (in Diskussion mit dem Support) 14.50
domainpartner.ch ? 15.50
MHS ? 15.50 Preis versteckt in FAQ
domainpartner.ch (ITF) ? 15.50 Preise gut versteckt
Hightechbits (Bighosting) ? 17.00 leitet um

* Reaktion innert 30 Minuten (und das nach 22 Uhr!)
† Stand 2. April 2015, keine weiteren Informationen erhalten.

Besonders erstaunte mich, dass SWITCHplus, eine Tochter von SWITCH für Value-Added-Services rund um Domainnamen, DNSSEC nicht anbietet, obwohl die Mutter das schon seit Jahren tat.

Da bei webagentur.ch, ticino.com, IPS, Everyware und Core laut Marc Wäckerlin keine Preise oder sonstige Informationen gefunden hat, wurden sie in diesem Vergleich nicht berücksichtigt.

Domain Marktplatz und Swisscenter scheinen Domains nur für Kunden ihrer anderen Produkte anzubieten und sind für reine Domainkunden daher auch nicht relevant.

Die Umfrage führte ich an den Abenden des 30. März (zwischen 22 und 23 Uhr) und 31. März 2015  (zwischen 17 und 19 Uhr) durch. Zwei Firmen (Q-X und Centinated) antworteten innert weniger Minuten, und das obwohl sie die Anfrage nach 22 Uhr erhalten hatten! Die Firmen, die auch nach über 48 Stunden noch keine Reaktion zeigten, sind am Fragezeichen in der DNSSEC-Spalte zu erkennen. Alle Reaktionszeiten sind als reine Momentaufnahmen zu verstehen und nicht auf andere Anfragen zu verallgemeinern.

0 Gedanken zu „DNSSEC für CH-Domains

  1. beta Antworten

    Vielen Dank für die Liste! Ich habe heute selbst einwenig rumtelefoniert und erlaube mir einige Aktualiserungen Stand 13.9.2016 zu posten:

    Registrar externe Nameserver eigene Nameserver
    Hostpoint Nein, geplant Nein, geplant
    Novatrend Ja, via Support Nein
    Metanet Nein Nein
    Centinated Ja, via Webinterface Nein, geplant
    Cyon Ja, via Webinterface Nein
    INWX Ja, via Support Nein
    Netzone Ja, via Webinterface Nein
    iway.ch Ja, via Webinterface Ja, via Webinterface
    Hosttech Ja, via Webinterface Ja, via Webinterface

    Ich unterscheide zwischen DNSSEC Support bei externen und bei den eigenen Nameservern. Wer die einfachst mögliche Implementierung haben will, für den kommen nur Registrars mit eigenen Nameservern in Frage, welche DNSSEC auch unterstützen. Ansonsten ergeben sich erfahrungsgemäss Komplikationen wegen inkompatiblen Algorithmen bei den DS-Records oa.

    Ich habe mich für Hosttech entschieden und deren Lösung funktioniert – mit Vorbehalten: Kein NSEC3-Support (Privatsphäre-Implikationen wegen Zone-Walking), kein Support für exotische DNS-Records (z.B. DANE, SSHFP), zweifelhafte Qualität des Nameservers und weil die Firma im Niedrigpreis-Segment angesiedelt ist kostet der Support CHF 1.19 pro Minute (und die billigste Zahlungsweise kostet CHF 1.55, eine Papierrechnung gar CHF 5.-).

    Aus diesen Gründen würde ich beim nächsten Mal iway.ch eine Chance geben (die haben aber leider sehr spät geantwortet) oder auf Centinated warten (wo der Service einen persönlichen Eindruck machte und man mir prompt offerierte nicht vorhandene Record-Typen einfach schnell ins Control Panel zu programmieren).

    • Marcel Waldvogel Antworten

      Herzlichen Dank für das Update, hast mir gerade die Entscheidung erleichtert. Ich war sehr zufrieden mit Q-X (siehe Kommentare oben). Es scheint, als ob einige (z.B. Novatrend, die DNSSEC-Einträge aber outsourcen) auch beim externen Nameserver keinen eigenen DS-Record übernehmen können, sondern sich selbst aus dem nackten Public-Key im DNSKEY etwas aus den Fingern saugen. Dabei gehen dann natürlich die Algorithmen- und NSEC3-Einstellungen flöten, was auf einen Denial of Service hinausläuft.

      • beta2 Antworten

        Danke für die bunte Tabelle :-). Neben den Schwierigkeiten mit den DS-Records darf man sich natürlich auch fragen ob man die Absicherung seiner SSH-Zertifikate, SSL-Zertifikate, PGP-Signaturen und MX-Records nur auf das Login-Passwort seines Registrars abstützen möchte (bzw. auf das Passwort seines E-Mail Accounts, falls der Angreifer das Passwort zurücksetzt). Weder Hosttech noch iway.ch unterstützen Zweifaktor-Authentifizierung und über Social-Engineering möchte ich gar nicht reden…

        Idealerweise würden die grossen Schweizer Hoster DNSSEC standartmässig aktivieren und Änderungen an den DS, DNSKEY, RRSIG und NSEC3-Records sperren. Sicherheit darf weder an der Unwissenheit des Kunden noch an Fehlern beim Copy-Pasten der DS-Digests scheitern.

        • Marcel Waldvogel Antworten

          Tabelle: Die Einrückung mit Leerzeichen wurde bei der Webdarstellung ignoriert. Und die Informationen waren zu wichtig (und zu aufwändig zusammengetragen; danke!) um nur in der resultierenden unbrauchbaren Formatierung verloren zu gehen.

          Schutz: Ich hoffe, dass die Leute, die aktuell DNSSEC einsetzen, dafür starke Passwörter wählen und diese nicht noch für andere Zwecke nutzen. Aber mittelfristig müssen sich die Registrare bewusst sein, dass sie dort (und an anderer Stelle) mehr Sicherheit einbringen müssen. Wollen wir uns da zusammentun?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.