DNSSEC ermöglicht die Verifizierung der Herkunft von DNS-Antworten durch die digitale Signierung von DNS-Daten.
Bevor Sie DNSSEC implementieren, stellen Sie bitte sicher, dass Sie ein umfangreiches Verständnis über die Konfiguration von DNS sowie von DNSSEC haben. EPAG übermittelt lediglich DNSSEC-Daten an die Registry und kann keine Validierung der Daten und keinen technischen Support leisten.
Wenn EPAG-Nameserver (dns2.epag.net und dns1.epag.net) verwendet werden, wird DNSSEC nicht unterstützt.
Der DNSSEC-Service ist kostenfrei.
DNSSEC-Daten können im Kunden-Portal oder durch die EPNIC- API überliefert werden. Pro Domain werden bis zu vier DNSSEC-Records unterstützt, obwohl manche Registries mehr oder weniger Records unterstützen. Im Kundenportal unter Support => Übersicht Top-Level-Domains, Spalte „DNSSEC-Unterstützung“ finden Sie Informationen zu den TLDs, die DNSSEC unterstützen. Hier wird angezeigt, wie viele Records erlaubt sind und welches Format gegebenenfalls unterstützt wird. Auch wenn eine Registry mehr als vier DNSSEC-Records unterstützt, können im Kundenportal bis zu vier Records verwaltet werden.
Key-Format: Mit folgenden Wertebereichen können DNSSEC-Daten entweder im Format dsData oder keyData angegeben werden:
Key-Tag: 0 - 65535
Algorithmus: 2 - 8, 10, 12 - 14
Digest-Typ: 1 - 4
Digest: Hex-kodierte Zeichenkette gerader Länge bestehend aus den Zeichen "0" - "9", "A" - "F" und "a" - "f". Zeilenumbrüche sind optional und werden ignoriert.
Flags: 256, 257
Protokoll: 3
Algorithmus: 3 - 8, 10, 12
Öffentlicher Schlüssel: Base64-kodierte Zeichenketten bestehend aus den Zeichen "0" - "9", "A" - "Z", "a" - "z", "+", "/" sowie bis zu zwei "=" als Füllzeichen am Ende. Die Länge muss ein Vielfaches von vier sein. Zeilenumbrüche sind optional und werden ignoriert.
Die folgenden Auftragstypen unterstützen die Eingabe von DNSSEC-Daten:
- Registrierung
- Transfer
- Update
- Inhaberwechsel
Einzelaufträge: Bei Aufträgen für einzelne Domains finden Sie unter bekannte Datensätze eine Liste, der uns bekannten DNSSEC-Datensätze. Wir können jedoch nicht garantieren, dass diese Aufstellung vollständig ist. Insbesondere bei Domains, die zu EPAG transferiert werden, besitzen wir keine Informationen über evtl. vorhandene DNSSEC-Datensätze.
Massenaufträge: Bei Massenaufträgen mit DNSSEC-Daten ist zu beachten, dass ausschließlich TLDs, die DNSSEC unterstützen, akzeptiert werden. Außerdem müssen alle TLDs im Auftrag das selbe DNSSEC-Format unterstützen (entweder dsData oder keyData).
Vorhandene Datensätze behalten: Hier können Sie festlegen, wie mit bereits existierenden DNSSEC-Datensätzen, verfahren werden soll. Falls ausgewählt, werden die bereits hinterlegten DNSSEC-Datensätze unverändert beibehalten, ansonsten werden diese während eines Updates oder Transfers entfernt.
Key rollover: Um den Schlüsselwechsel („key rollover“) für eine Zone durchzuführen, muss zunächst der neue Schlüssel zusätzlich zum bisher gültigen, alten Schlüssel hinterlegt werden. Nach Ablauf einer angemessenen Wartezeit, kann der alte Schlüssel dann von der Zone gelöscht werden.