Im letzten Jahr beschloss ich, dass ich meine Domains mit einem 3rd-Party Nameserver betreiben möchte, um flexibel Subdomains, TXT Records, DynDNS und Let’s Encrypt-Zertifikate verwalten zu können. Da ich mehrere Domains bei zwei unterschiedlichen Anbietern besitze, wollte ich eine zentrale Lösung für alle diese Aufgaben finden.
Dabei bin ich auf den deutschen Service-Provider deSEC.io gestoßen, der mir mit seinen erzwungenen Sicherheitsfeatures recht gut gefällt. Eines dieser Sicherheitsfeatures nennt sich DNSSEC, und was das genau ist, beschreibt hostpoint.ch sehr gut mit in paar wenigen Sätzen:
DNSSEC steht für Domain Name System Security Extensions. Es handelt sich hierbei um einen Dienst, welcher die Echtheit (Authentizität) und Unversehrtheit (Integrität) der abgefragten DNS-Daten prüfen soll. DNS-Abfragen werden so «verifiziert», sodass beispielsweise Eingriffe durch sogenannte «Man in the Middle»-Attacken verhindert werden können.
https://support.hostpoint.ch/de/technisches/dns/haeufig-gestellte-fragen/was-ist-dnssec-und-wie-aktiviere-ich-dnssec
Also habe ich mich dort registriert und bei beiden Domain-Providern die NS-Einstellungen entsprechend angepasst bzw. anpassen lassen. Nun konnte ich also alle oben genannten DNS-Einstellungen über deSEC steuern.
Der nächste Schritt war nun also DNSSEC bei den Providern einrichten zu lassen, damit die Bedingungen für deSEC.io erfüllt sind. Bei dem einen Anbieter war das kein Problem: E-Mail hingeschickt mit den Details und zwei Tage später war das Ding geklärt.
Bei IONOS… naja… schwierig. Ich versuchte es erstmal mit einer E-Mail an den Support, in der ich alle notwendigen Daten für den DS-Record bereits reingeschrieben hatte, worauf hin ich die folgende Antwort bekommen habe:
die für den DS Record erforderlichen Infos müssen exakt in dem Format wie in der Anleitung bearbeitet werden:
E-Mail im Oktober 2023
Okay, das ist seltsam. Ich meine, die haben doch jetzt schon alle notwendigen Infos von mir bekommen, warum wollen die das jetzt in einem fehlerhaften JSON verpackt haben? Aber nun gut, ich kopiere mir die Vorlage und füge die Werte entsprechend ein, und verschicke das ganze erneut an die Support-Mail-Adresse von IONOS:
Ich muss Ihnen mitteilen, dass wir keine Script Support anbieten.
E-Mail im Oktober 2023
Sekunde, was? Wieso denn jetzt auf einmal ein Script? Ich habe doch nur das JSON ausgefüllt wie in der genannten Hilfe-Seite beschrieben und habe es zurückgesendet?
vielen Dank für Ihr Schreiben.
Ihre Anfrage habe ich an die dafür zuständige Fachabteilung weitergeleitet. Sobald meine Kollegen Ihr Anliegen bearbeitet haben, setzen diese sich mit Ihnen umgehend in Verbindung.
E-Mail im Oktober 2023
Aha, jetzt kommen wir der Sache endlich näher!
ich habe gute Nachrichten für Sie.
DNSSEC für Ihre Domain sp-dev.eu wurde nun aktiviert.
Bei weiteren Fragen oder Anliegen stehe ich Ihnen natürlich gerne weiterhin zur Verfügung.
E-Mail im Oktober 2023
Gott sei Dank, endlich geschafft. War gar nicht so trivial wie man es sich vorstellen möchte.
Im Jahre des Herren 2024
…ging die Geschichte weiter. Ich hatte mir kürzlich eine neue Domain bestellt, wieder bei IONOS. Und auch diese Domain wollte ich wieder über deSEC.io verwalten können, also stellte ich die Einträge entsprechend in dem Verwaltungspanel im Kundencenter um. Bezüglich DNSSEC wusste ich ja bereits aus dem vorherigen Jahr, dass der Support gerne die Infos in dem JSON verpackt haben möchte, also rief ich mir die Hilfe-Seite nochmal auf, kopierte mir die Vorlage und fügte die relevanten Daten für DNSSEC ein. Die E-Mail versendete ich mit einem Hinweis/Link auf die entsprechende Hilfe-Seite, so dass der Support-Mitarbeiter sofort versteht, worum es geht.
vielen Dank für Ihre Anfrage. Bedauerlicherweise liegt die Eintragung dieser Einträge nicht in unserem Support-Rahmen. Gerne erkläre ich Ihnen jedoch, wie Sie dies selbst veranlassen können. Zuerst loggen Sie sich ein und gehen in den Bereich „Domains und SSL“. Dort finden Sie unterhalb von „Aktion“ rechts neben der Domain drei Punkte, die untereinander liegen. Klicken Sie darauf und wählen Sie „DNS“ aus. Dort können sämtliche Einträge hinzugefügt werden.
E-Mail im April 2024
Stop, stop, stop…. das heißt also, wenn in der Hilfe steht, dass man hierfür den Support kontaktieren soll, ist dieser eigentlich gar nicht zuständig? Nein das glaube ich nicht, der gute Mann hat da sicher etwas verwechselt?! Also schickte ich die folgende Antwort:
aber in der Hilfe-Anleitung (siehe Link in der initialen E-Mail zu beginn) steht, dass ich mich beim Support diesbezüglich melden soll. Und in den DNS-Einstellungen bei IONOS sehe ich keine Option, selbsttätig DNSSEC zu aktivieren, nur die normalen und üblichen DNS-Einträge.
Bei meiner zweiten Domain, die über IONOS betrieben wird, hat dies ebenso via Support-EMails geklappt (sp-dev.eu). Eventuell können Sie den Fall als Referenz verwenden.
E-Mail von Mir an den IONOS Support im April 2024
Ich dachte, damit wäre jetzt alles klar. Ich hätte dem Support erklärt, dass ich selbst diese DNSSEC-Geschichte nicht einstellen kann und das ich bereits eine Domain hätte, wo man dies kontrollieren könne wie es aussehen soll. Bleibt also nur noch abzuwarten, bis IONOS Ihre Magie wirken lässt.
vielen Dank, dass Sie sich mit Ihrem Anliegen erneut an uns gewandt haben. Bitte entschuldigen Sie, dass ich nicht früher geantwortet habe. Wir erhalten derzeit eine große Anzahl von E-Mails, wodurch sich unsere Antwortzeit verlangsamt.
Es tut mir leid wegen diesem Missverständnis.
Ich lasse Ihnen die benötigte Anleitung zukommen:
https://www.ionos.de/hilfe/domains/eigene-nameserver-nutzen/dnssec-mit-externen-nameservern
Ich hoffe, dass Sie mit dieser Anleitung die Einträge problemlos eingeben können.
E-Mail im April 2024
Ach komm schon! Ihr wollt mich doch verar….?! Wieso senden die mir jetzt die Hilfe-Seite zu, die ich direkt am Anfang mitgeschickt hatte und wieso sagen die, das ich damit meine DS-Einstellungen selbst verwalten kann, wenn doch auf der Seite klar und deutlich steht, dass ich die Daten an den Support schicken soll? Also antwortete ich dem Support erneut:
Danke für ihre E-Mail. Exakt den selben Link habe ich in meiner anfänglichen Anfrage ebenfalls mitgeschickt – mitsamt allen notwendigen Daten. Scrollen sie doch bitte einfach in dieser E-Mail runter und lesen sie meine allererste E-Mail.
Außerdem steht doch ausdrücklich auf der Hilfeseite, das ich die Daten an den Support schicken soll und nicht selbst irgendwo eintragen muss.
Langsam wirds lächerlich.
E-Mail von Mir an den IONOS Support im April 2024
Und das ist auch der bisherige aktuelle Stand. Wie es weiter geht und ob ich jemals meine DNSSEC-Einstellungen für meine neue Domain bekomme, dass steht noch in den Sternen. Sollte IONOS jemals auf die Idee kommen, dass Kunden tatsächlich selbst diese Einstellungen vornehmen können, dann würde mich das wirklich glücklich machen. Und es würde viel, sehr viel Ärger und Aufregung vermeiden.
Langsam wirds lächerlich.
Damian Ryse