Hvordan sjekker du om et domenenavn er sikret?
Alle forhandlere kan sjekke om et domenenavn er sikret, uavhengig av om hen er DNSSEC enabled eller ikke. Dette kan gjøres på flere måter:
- Ved å slå opp domenenavnet i forhandler-whois eller oppslagstjenesten for publikum
- Med EPP-kommandoen domain-info
- Ved oppslag i DNS
DNSSEC-data skal vises hvis domenenavnet er sikret.
Bytte av forhandler
Hvis domenenavnet er sikret med DNSSEC og skal overføres til en annen domeneforhandler, må du forsikre deg om at den nye forhandleren er i stand til å videreføre DNSSEC-sikringen, se forhandleroversikten. Hvis den nye forhandleren ikke håndterer DNSSEC, må du fjerne alle DNSSEC-data i forbindelse med flyttingen slik at domenenavnet blir avsikret.
Bytte av forhandler skjer med EPP-operasjonen delegation-transfer. Hvis den nye forhandleren ikke er DNSSEC enabled, vil alle DNSSEC-data bli fjernet i forbindelse med transfer-operasjonen. Domenenavnet blir dermed avsikret.
Vi forutsetter at abonnenten er informert om at dette skjer slik at domenenavnet ikke avsikres ved et uhell og uten at abonnenten er klar over det. Hvis abonnenten ønsker å beholde sikringen, bør du anbefale at hen finner seg en forhandler som er DNSSEC enabled.
Hvis EPP-programvaren ikke støtter DNSSEC
Det er lite sannsynlig at en forhandler er DNSSEC enabled hvis egen EPP-programvare ikke støtter DNSSEC. Et domenenavn kan imidlertid være sikret selv om egen EPP-programvare ikke viser DNSSEC-data. Du kan med andre ord bli lurt til å tro at det ikke finnes DNSSEC-data på domenenavnet. Dette kan være problematisk i noen tilfeller, og spesielt ved bytte av forhandler fordi alle DNSSEC-data vil bli fjernet i forbindelse med transfer-operasjonen.
Hvis du er i tvil, bør du gjøre et whois-oppslag og sjekke om det finnes DNSSEC-data på domenenavnet slik at du kan advare abonnenten om at avsikring kommer til å skje hvis du skal være forhandler. Hvis abonnenten ønsker å beholde sikringen, bør du anbefale at hen finner seg en annen forhandler. Samtidig bør du vurdere om du bør oppgradere dine tjenester slik at du kan tilby DNSSEC.
Feil hos en navnetjenerleverandør
Det kan oppstå problemer hos den som er ansvarlig for å vedlikeholde DNSSEC-data for et domenenavn som denne aktøren ikke greier å rette i sin navnetjenerstruktur før domenenavnet slutter å virke (validere) i DNS. Aktøren er den som drifter selve navnetjenesten og kan være abonnenten selv, forhandleren eller en internettleverandør.
Et slikt problem kan for eksempel oppstå ved at egen signeringsprogramvare har sluttet å kjøre, slik at signaturene for domenenavnet ikke lenger friskes opp regelmessig. En DNSSEC-signatur har en levetid før den blir ugyldig. Hvis levetiden passeres, vil en validerende resolver anse domenenavnet som ugyldig fordi det ikke lenger validerer og dermed svare at domenenavnet ikke lenger finnes. Konsekvensen for abonnenten er at tjenestene som kjører på domenenavnet, vil slutte å virke.
I slike tilfeller anbefales det å avsikre alle domenenavn som er rammet før de slutter å virke i DNS. Avsikring gjøres ved å utføre en domain-update i EPP og fjerne alle DS-poster fra domenenavnet. (For å hjelpe til med rask avsikring, har Norids EPP-klient en spesiell bulk-funksjon hvor du kan fjerne alle DS-poster fra en liste av domenenavn).
Årsaken til at vi anbefaler avsikring, er at det som regel er viktigere at tjenestene på domenenavnet fortsetter å fungere enn at et domenenavn står usikret en kort periode. Dette må vurderes konkret av forhandleren, eventuelt i samråd med abonnenten.
MERK: Etter at avsikringen er utført over EPP-grensesnittet, vil det ta noen timer før endringen er publisert ut i alle navnetjenere. Det er derfor viktig å gjøre endringen i tide.
Når den som drifter navnetjenesten har løst problemet, kan domenenavnet sikres på nytt. Sikring gjøres med EPP-operasjonen domain-update og ved å legge til DS-poster på domenenavnet.