TLSA record voor DANE geeft foutmelding in DNS tabel

In het verleden kon ik DANE toevoegen: Staat IPv6 bij freedom niet volledig aan? - #3 door PeterB

Maar nu staat er een foutmelding in het DNS overzicht, terwijl het in het verleden geen probleem was en ook werkte bij de check via internet.nl:

Ook ziet internet.nl nog geen DANE aanwezigheid. tiental minuten geleden weer ingesteld dus misschien duurt het even. --edit na ruim een uur werkt het nog niet — Maar gezien de foutmelding heb ik mijn twijfels of het wel gaat werken.

Wat is er fout? Hoe moet het anders?

Dit is dus een TLSA RR voor _443.tcp.home.jouwdomein.nl.
Formeel is _ niet toegestaan in DNS namen, mogelijk dat daar een issue met de software of instellingen (hetzij in de DNS server dan wel in de web frontend) is?
De . mag in principe geen probleem zijn.
home kan een dingetje zijn om dat sommige routers dat gebruiken als afkorting voor het lan. Al zou dat in de webinterface niet uit mogen maken.

Voor het testen van internet queries is het dig tool de beste. (beter dan nslookup).

Over _dmarc en _acme-challenge doet de DNS interface niet moeilijk. Dus dat kan het niet zijn.
_443.tcp.home.mijndomein.nl vind hij ook niet leuk.
De Fritz!Box doet verder niets met ‘home’. De interne webserver is prima bereikbaar via home.mijndomein.nl met een 100% score op internet.nl, maar helaas nu dus geen DANE meer, dat heeft wel gewerkt.

Nee, de _443._tcp.home die de OP gebruikt is WEL juist. Dit is netjes beschreven in sectie 3 van RFC6698.

Dan blijft en bug elders over.

Het is nog erger, de instellingen worden na een paar uur vanzelf veranderd van ‘_443._tcp.home’ in ‘home’. En dat slaat natuurlijk al helemaal nergens op volgens de regels voor een TLSA record. Dan gaat het nooit werken.

Heb dus een emailtje aan de helpdesk gestuurd met het volgende verzoek, dan inclusief documentatie:

"Ik denk dus dat er een of ander onjuist scriptje aan de DNS verwerker bij Freedom is toegevoegd.

Graag herstel van het DNS systeem zodat TLSA records weer werken zoals ze dat ook in het verleden gedaan hebben."

Het lijkt zelfs nog veel erger: Als je het record verwijdert om een nieuwe aan te maken, wordt de nieuwe niet eens opgeslagen.

Zo gaat DANE nooit werken. Een provider als Freedom zou DANE/TLSA volledig moeten ondersteunen, vind ik.

Ik denk dat ik iets gevonden heb:
Als ik ‘omdat443.tcp.homenietwerkt’ invul bij ‘NAAM’ krijg ik weer die ‘is invalid’ melding.
Als ik de puntjes weglaat (‘omdat443tcphomenietwerkt’) accepteert hij het wel.

Blijkbaar vindt de DNS editor puntjes in ‘NAAM’ niet geoorloofd. Zo krijg je er dus nooit een geldig TLSA record in.

1 like

Het lijkt weer te werken; De puntjes in de naam van de entry worden weer geaccepteerd.
Althans voor TLSA.
Daarmee dan ook voor DANE op zowel webserver en emailserver, zoals tevens blijkt uit een test op internet.nl. (die ziet de wijziging eigenlijk direct).

@sebas Van de helpdesk heb ik nog geen officiële terugkoppeling. Dus of het ook definitief is opgelost weet ik niet.

1 like

Het probleem is inderdaad opgelost. Soverin heeft dat 17 uur geleden gemeld.
Op dat moment was ik niet achter mijn computer dus was onopgemerkt gebleven voor mij tot net :slight_smile:

2 likes

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.