Liste von Registraren welche DNSSEC unterstützen (gemäss Switch): http://www.nic.ch/de/dnssec ^ Registrar ^ Preis ^ Empfohlen von ^ Bestätigungen ^ | Switchplus | [https://www.switchplus.ch/wp-content/uploads/factsheet_domain_en.pdf?232f2b]: CHF 34 / Jahr | Roman | Glue: Ja, DNSSEC: Per E-Mail an Administration / GUI für 2016 geplant | | Knipp.de | [http://www.knipp.de/domains/pricelist.do#A-2]: € 49.50 / 2 Jahre | Frank B. | Glue: Ja, DS: Ja | | Gandi.net | [https://www.gandi.net/domain/price/detail/net/]: USD 15 / Jahr | Peter R. | Glue: Ja, DS: Ja | | iWay.ch | [https://www.iway.ch/hosting-and-datacenter/hosting/domain-registration.aspx]: CHF 14.- | Lukas B. | Glue: Ja (IPv4 und IPv6), DNSSEC: Ja (CH, LI, NET, COM, ORG) | | GoDaddy | [https://ch.godaddy.com/domains/domain-transfer.aspx?ci=8992]: CHF 14.99 | Frank | DNSSEC: Ja [https://support.godaddy.com/help/article/6115/managing-dnssec-for-your-domain-name] (für TLD nicht auf der Liste nachfragen) | Hinweis von Thomas B: Etwas sollte man bei der Suche bedenken: Viele Registrars sind Reseller von OpenSRS und dort gehts nicht. Das wäre schonmal ein Evaluationskriterium. Man kann den Registrar drauf ansprechen, von wem er das Reselling einkauft. Anfrage bei Lukas K bzgl. Registrar-Wechsel: Da bin ich völlig schmerzbefreit... solange mir jemand sagt, was ich machen muss. En liebe Gruess us Amde Lukas und Co ---- Eintrag Glue Records: Für die Registration einer Domain in der TLD muss angegeben werden wie die Nameserver für die Domain heissen. Wenn die Namen der Nameserver selbst Teilnehmer der Domain sind (z.B. ns.trash.net ist Mitglied der Domain trash.net) müssen auch Adress Records in der TLD erfasst werden. Diese sind nicht autoritativ für die Namen der Nameserver, sondern "verleimen" ( = Glue) lediglich Anfragen an die TLD mit den zuständigen Nameserver. Ein Registrar muss nun also in der Lage sein, sowohl Glue Records als A-Records wie auch als AAAA-Records in der TLD eintragen zu können. Im Idealfall sollte das der Registrierungsprozess resp Updateprozess der Domain automatisch vornehmen. Fragestellung: werden Glue Records der Nameserver sowohl als A-Record wie auch als AAAA-Record in der TLD eingetragen? Eintrag DS Records: Für DNSSEC muss die Chain für die DNSKEY Records aus der Zone bis zur Root Domain hergestellt werden können. Dafür muss für den KSK (Key Signing Key) der Domain ein DS Record in der TLD eingetragen werden. Der Registrierungsprozess resp Updateprozess der Domain muss es ermöglichen, dass man angeben kann, dass die Domain signiert ist und die Möglichkeit bieten, dass der richtige DS in der TLD eingetragen wird. Fragestellung: kann man angeben, dass die Zone signiert ist und werden die DS Records in der TLD eingetragen? ---- Habe einen Account bei Gandi eröffnet, bei nic.ch den Transfercode bestellt, bei Gandi eingegeben, Transfer hat soweit gut funktioniert. Problem 1: Meine Adresse hat Umlaute. Ich hatte meinen Account bei Gandi mit Umlauten eröffnet, ebenso bei nic.ch. Dennoch sind beim Transfer die Umlaute verloren gegangen. Somit waren nach dem Transfer die Accountinformationen des bestehenden Owners (nun ohne Umlaute) und meines neuen Accounts (mit Umlauten) nicht identisch und Gandi hat automatisch für mich einen neuen zweiten Account (ohne Umlaute) angelegt. Soweit kein Problem, aber ich habe nun zwei Accounts, welche ich noch nicht geschafft habe zu mergen. *Tipp: Vor dem Transfer bei nic.ch Umlaute in Name und Adresse entfernen. Account beim neuen Registrar ohne Umlaute eröffnen.* Problem 2: Meine Domain hatte DNSsec aktiv. Dadurch konnte die Domain von Gandi nicht automatisch transferiert werden. Der Support musste DNSsec deaktivieren und ich konnte dann meinen DNS-Key wieder hochladen. *Tipp: Vor dem Transfer DNSsec bei nic.ch ausschalten.* Welche Registrars verwendet Ihr und was sind Eure Erfahrungen dabei? Viele Grüsse, Matthias ---- |Problem 1: Meine Adresse hat Umlaute. Ich hatte meinen Account bei Gandi |mit Umlauten eröffnet, ebenso bei nic.ch. Dennoch sind beim Transfer die |Umlaute verloren gegangen. Somit waren nach dem Transfer die |Accountinformationen des bestehenden Owners (nun ohne Umlaute) und |meines neuen Accounts (mit Umlauten) nicht identisch und Gandi hat |automatisch für mich einen neuen zweiten Account (ohne Umlaute) |angelegt. Gemäss ICANN-Vorgabe darf bei einem Transfer einer Domain kein Owner-Change geschehen. Wenn der neue Registrar beim Vergleich des aktuellen Owner der Domain und dem Profil des eigenen Kunden einen Unterschied erkennt, dann muss sie von einem Owner-Change ausgehen. Dazu reicht auch schon eine unterschiedliche Mailadresse; der Name ist nicht das einzige Kriterium. Die Registries sollten in ihren Transfer-Dialogen irgendwo eine Checkbox anbieten, mit der ein Kunde einem Owner-Change zustimmt. In diesem Fall darf die Registry transparent für den Kunden nach dem Transfer auch gleich noch einen Owner Change auslösen. Wenn der Kunde einem Owner-Change nicht zustimmt, dann muss die Registry einen passenden Account eröffnen. Andernfalls würde sie die Vorgabe, dass ein Transfer keinen Owner-Change beinhalten darf, verletzen. Beim Transfer also einfach drauf achten, mit welcher Checkbox man den Owner-Change genehmigen kann, dann sollte das in einem Schritt gehen. |Soweit kein Problem, aber ich habe nun zwei Accounts, welche |ich noch nicht geschafft habe zu mergen. Muss man auch nicht. Ich nutze schon länger Gandi; es reichte jeweils aus, einfach den richtigen Account bei den Domains als Owner einzutragen (muss dann von beiden Accounts bestätigt werden) und den automatisch erstellten Account anschliessend zu löschen. |Problem 2: Meine Domain hatte DNSsec aktiv. Dadurch konnte die Domain |von Gandi nicht automatisch transferiert werden. Der Support musste |DNSsec deaktivieren und ich konnte dann meinen DNS-Key wieder hochladen. |*Tipp: Vor dem Transfer DNSsec bei nic.ch ausschalten.* Ist vermutlich ein Problem von SWITCH. Sie legen für jeden KSK je einen DS-Record mit SHA1 und SHA2 Hash ab. Eigentlich sind die SHA1-Hashes deprecated. Allenfalls lassen sie das sein, wenn man vorher einen Rollover auf RSA/SHA-256 oder RSA/SHA-512 macht. Müsste man testen. Gruss, Thomas. ---- Ebenfalls ein guter Tipp. Den hatte ich schon von einem Kollegen bekommen, und so ging das bei mir problemlos. Das Management des DNSSEC-Glues (DS-Record) funktioniert etwas anders als früher bei nic.ch, aber es ist eigentlich nicht komplizierter. Eben auch Gandi, hauptsächlich wegen DNSSEC. (Die Nameserver habe ich anderswo, glücklicherweise mit guter Unterstützung für Key Rollovers usw.) Ansonsten habe ich auch ein paar Domains bei Amazon AWS "Route53". Die sind selber nicht Registrar bei .CH oder sonstwo, sondern Reseller von Gandi. Als Vorteil empfinde ich, dass ich da schon einen Account hatte und alles sehr einfach über die normale AWS-Management-Console geht. Für nicht-DNSSEC-Domains benutze ich auch deren DNS-Hosting (s.z.B. dig ns waredefined.net.). Ihr Nameserver-Setup ist nicht schlecht für Robustheits- oder Performance-Fanatiker. Gefällt mir super, ausser dass sie (noch) kein DNSSEC und keine IPv6-Nameserver unterstützen. Simon. ---- Hallo, die Nameserver für DNSSEC würden wir auf trash.net ja bereits anbieten mit persönlicher Betreuung durch mich, immerhin offizieller Swiss DNSSEC Pioneer ;-) es würde lediglich einen Registrar benötigen, welcher die Verwaltung von DS Einträgen zulässt und in der ch-Zone unterbringt. Das sollte doch eigentlich nicht so schwierig sein. Ich begreife nicht ganz warum das switchplus nicht einfach von Switch übernehmen konnte. Gruss, Othmar ---- Guten Tag geschätzte Gemeinde Ich habe nun alle meine Domains in einer konzertierten Aktion von Switch zu Gandi.net umgezogen. Bisher scheint alles erfolgreich geklappt zu haben... - Bzgl. Nameserver habe ich mal "Keep existing DNS" angewählt. Fragen: - Was soll man für Tech Support eintragen? Zur Zeit ist womöglich alles auf Gandi gemappt... - Weiss jemand mehr zu (Gandis) "Private Domain Registration": By activating Private Domain Registration, some of your contact details will be hidden in the public whois databases. PS: Vielen Dank für eure Vergleichsseite und den Erfahrungsaustausch: https://your.trash.net/wiki/registrar-vergleich Beste Grüsse, Peter ---- Hallo, in der Firma haben sie letzthin alle ch-Domains zu switchPlus gezügelt. Alle ausser einen: unsere Testdomain wo DNSSEC aktiviert ist, konnten sie nicht übernehmen. Das kam für mich total unerwartet. Switch hatte DNSSEC offiziell vor drei Jahren eingeführt – und die Nachfolgefirma switchplus kann das nicht? Es hiess sie würden sich in den nächsten Monaten bereit machen. Gruss, Othmar ---- Ich habe diese Woche indirekt erfahren, dass switchplus ab sofort in der Lage sei, DNSSEC zu unterstützen. Allerdings kann man seine Anpassungen nicht selber vornehmen sondern müsse den Auftrag mit dem Technischen Personal zu Bürozeiten durchführen. Die Unterstützung über ein GUI sei für 2016 geplant. Ich werde wohl damit bald praktische Erfahrung sammeln können weil nun eine Testdomain unserer Firma zu switchplus gezügelt wird. Gruss, Othmar