Ankündigung

Einklappen
Keine Ankündigung bisher.

RFC6844 - CAA

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Zitat von Nils Dornblut Beitrag anzeigen
    Na ja, Empfehlungen für die ideale Welt mit unbeschränkt verfügbaren Ressourcen gibt es sicher viele. Wie ist den Ihr konkretes Szenario wie Sie einen Angriff in Ihrem Fall befürchten, was jetzt nicht abgedeckt ist?
    Aktuell denken wir, dass es wichtigere Punkte gibt, wo wir mit den zur Verfügung stehenden Ressourcen mehr an Sicherheit erreichen können als in dem Punkt.
    Oh, es handelt sich hier selbstverständlich nur um "low hanging fruits". Die sind auf Seite der df Kunden leicht umsetzbar und eigentlich auch von Seiten df kein Hexenwerk. Letztlich stellen Sie ja nur ein neues Feld im Zonefile zur Verfügung. Ja, da gibt es ein wenig mehr zu beachten, aber grundsätzlich ist die Umsetzung trivial. Der Sicherheitsgewinn ist mäßig hoch, aber: low hanging fruits. Es ist schnell erledigt mit wenig Kenntnissen im Gegensatz zu besseren Techniken. Wenn dies für df wirklich ein Ressourcenproblem ist, dann muss ich mir vielleicht eher mittelfristig eine Alternative suchen, denn das klingt nicht gut.
    Insgesamt hat df mal einen engagierteren Eindruck gemacht.

    Kommentar


      #17
      Zitat von WintermuteX Beitrag anzeigen

      Oh, es handelt sich hier selbstverständlich nur um "low hanging fruits". Die sind auf Seite der df Kunden leicht umsetzbar und eigentlich auch von Seiten df kein Hexenwerk. Letztlich stellen Sie ja nur ein neues Feld im Zonefile zur Verfügung. Ja, da gibt es ein wenig mehr zu beachten, aber grundsätzlich ist die Umsetzung trivial. Der Sicherheitsgewinn ist mäßig hoch, aber: low hanging fruits. Es ist schnell erledigt mit wenig Kenntnissen im Gegensatz zu besseren Techniken. Wenn dies für df wirklich ein Ressourcenproblem ist, dann muss ich mir vielleicht eher mittelfristig eine Alternative suchen, denn das klingt nicht gut.
      Insgesamt hat df mal einen engagierteren Eindruck gemacht.
      Es müssen hierfür an mehreren Stelen bei uns Änderungen gemacht werden. Daher hängt die Frucht doch nicht so tief bzw. es ist zum Ernten sozusagen einiges an Arbeitsgerät erforderlich. Wir werden schauen, ob zu gegebener Zeit Erweiterungen in den Bereichen der Nameserver vorgenommen werden und man das dann vielleicht mitmachen kann. Wir denken, dass die Ressourcen aktuell an anderer Stelle niedriger hängende Früchte ernten können. Wir hoffen hier auf Ihr Verständnis und bitten darum uns nicht generell deshalb in Frage zu stellen

      Mit freundlichen Grüßen

      Nils Dornblut

      Blog - Facebook - Twitter
      Communitybetreiber: domainfactory GmbH
      Impressum / Pflichtangaben

      Kommentar


        #18
        Lasst euch ruhig Zeit, wie schon andere geschrieben haben: eure Mitbewerber sind nicht ganz so träge. Das kann ich ebenfalls bestätigen, alle von mir privat und beruflich genutzten Mitbewerber haben das bereits im Portfolio. Wie gesagt: Lasst euch ruhig Zeit.

        Kommentar


          #19
          Zitat von Nils Dornblut Beitrag anzeigen

          Na ja, Empfehlungen für die ideale Welt mit unbeschränkt verfügbaren Ressourcen gibt es sicher viele. Wie ist den Ihr konkretes Szenario wie Sie einen Angriff in Ihrem Fall befürchten, was jetzt nicht abgedeckt ist?

          Aktuell denken wir, dass es wichtigere Punkte gibt, wo wir mit den zur Verfügung stehenden Ressourcen mehr an Sicherheit erreichen können als in dem Punkt.

          Mit freundlichen Grüßen

          Nils Dornblut

          Bei mir ist es aber so, dass die Forderung danach nicht auf unserem Mist gewachsen ist, sondern auf dem des Kunden. Das ist in diesem Fall eine Verwaltungsgemeinschaft und die hat in Sachen Datenschutz eine Datenschutzfirma beauftragt, die die insgesamt vier Websites der VG geprüft hat. Dann haben die uns einen ganzen Katalog an Maßnahmen zugeschickt, die wir umsetzen müssen. Ich habe diese Sache hier dann schon in einem Sachstandbericht zu den Änderungen erwähnt und dass dies bei uns nicht machbar wäre; habe dann aber eben mitgeteilt bekommen, dass das ja nicht sein könne, andere Kunden des Unternehmens haben damit keine Probleme, warum wir das denn nicht machen können?

          Das ist jetzt ganz schön peinlich. Wir sind mit den anderen Maßnahmen jetzt so gut wie fertig, nur dieser Punkt steht aus und ich überlege, wie ich das jetzt meinem Kunden kommuniziere.

          Wenn das so stimmt, was die anderen hier schreiben, dann bin ich trotz meiner Treue zu DF schon gezwungen zu sagen, dass das für einen B2B-Anbieter nicht besonders förderlich ist!









          Kommentar


            #20
            Zitat von Ossi Beitrag anzeigen
            Wenn das so stimmt, was die anderen hier schreiben, dann bin ich trotz meiner Treue zu DF schon gezwungen zu sagen, dass das für einen B2B-Anbieter nicht besonders förderlich ist!
            Das stimmt wirklich so. Warum sollte hier jemand Märchen erzählen? Anbieter wie (mir egal, dann nenne ich jetzt mal Namen) Universum, Hetz-ner, Ionos und Co haben das im Programm! Gefühlt hat JEDER andere das im Portfolio.
            Zuletzt geändert von WintermuteX; 22.02.2021, 15:37.

            Kommentar


              #21
              Zitat von WintermuteX Beitrag anzeigen

              Das stimmt wirklich so. Warum sollte hier jemand Märchen erzählen? Anbieter wie (mir egal, dann nenne ich jetzt mal Namen) Universum, Hetz-ner, Ionos und Co haben das im Programm! Gefühlt hat JEDER andere das im Portfolio.
              Mist! Was schreibe ich denn jetzt dem Datenschutzexperten? "Können wir leider nicht machen, weil unser Hoster das als einer der wenigen nicht anbietet"?


              cu.....O.D.

              Kommentar


                #22
                Zitat von Ossi Beitrag anzeigen

                Mist! Was schreibe ich denn jetzt dem Datenschutzexperten? "Können wir leider nicht machen, weil unser Hoster das als einer der wenigen nicht anbietet"?


                cu.....O.D.
                Domain umziehen und hier als externe Domain einbinden. Das mag DF jetzt nicht gefallen, aber es geht nicht anders....
                Zuletzt geändert von wecotec; 22.02.2021, 16:29.
                Markus
                ---
                https://www.facebook.com/markus.weber.180410

                Kommentar


                  #23
                  Zitat von wecotec Beitrag anzeigen

                  Domain umziehen und hier als externe Domain einbinden. Das mag DF jetzt nicht gefallen, aber es geht ja mal wieder nicht anders....
                  Hmm. Wie schaut so ein Umzug praktisch aus? Mail etc?

                  Kommentar


                    #24
                    Zitat von Ossi Beitrag anzeigen

                    Hmm. Wie schaut so ein Umzug praktisch aus? Mail etc?
                    Wenn es sich nur um die Domain handelst: Du dokumentierst (z.B. via Screenshot) die alten DNS-Einstellungen. Dann ziehst Du die Domain einfach um und gibst beim neuen Hoster die Domaineinstellungen sofort ein. Wenn Du alles richtig machst fällt die Seite / Mail noch nicht mal aus.

                    Du solltest den Umzug mit deinem PVI absprechen, da die Domain sofort als externe Domain hier eingetragen werden muss....das ist leider so ein Unding bei DF und bei jedem anderen wesentlich einfacher.

                    2-3 Fallstricke gibt es ggf für DF-Kunden: Überall wo "auto" in den Einträgen steht muss man herausfinden was wirklich dahinter steht (bei MX-Records ist es in der Regel "mxlb.ispgateway.de" und bei A-Records die IP deines Servers). Bei SPF-Einträgen muss man sich im klaren sein, dass es in Wirklichkeit nichts anderes wie TXT-Einträge sind. Bei SRV-Einträgen muss man kurz suchen wie die wirklich hinterlegt werden, DF hat da eine recht gute Maske um die Komplexität dieses Eintrages dem User nicht zuzumuten.

                    Das ganze liest sich vielleicht komplizierter als es ist, ggf machst du es mal mit einer deiner Domains als "Trockenübung".
                    Zuletzt geändert von wecotec; 23.02.2021, 07:36.
                    Markus
                    ---
                    https://www.facebook.com/markus.weber.180410

                    Kommentar


                      #25
                      Zitat von wecotec Beitrag anzeigen

                      Domain umziehen und hier als externe Domain einbinden. Das mag DF jetzt nicht gefallen, aber es geht nicht anders....
                      Dann hast du aber noch kein SSL-Zertifikat auf dem Server. Das kannst du nicht selbst installieren und DF berechnet eine Pauschale von 50€, um ein fremdes Zertifikat einzubinden - jedes mal. Bei einem kostenlosem Zertifikat, welches alle 3 Monate erneuert werden muss, kannst du dir ja ausrechnen wie sinnvoll das ist...
                      (Dazu noch der ganze Aufwand.)

                      Kommentar


                        #26
                        Zitat von _top_ Beitrag anzeigen

                        Dann hast du aber noch kein SSL-Zertifikat auf dem Server. Das kannst du nicht selbst installieren und DF berechnet eine Pauschale von 50€, um ein fremdes Zertifikat einzubinden - jedes mal. Bei einem kostenlosem Zertifikat, welches alle 3 Monate erneuert werden muss, kannst du dir ja ausrechnen wie sinnvoll das ist...
                        (Dazu noch der ganze Aufwand.)
                        Wenn ich wecotec richtig verstanden habe, wird die Webseite an sich ja bei einem externen Anbieter (mit Gratis-SSL-Zertifikat) betrieben! Die Einbindung als ext. Domain wäre dann ja nur noch sinnvoll für den Mail-Betrieb..... (deshalb ja auch das screen-shotting der DNS-Einstellungen, die sollen ja weiterhin auf df zeigen - nur haben wir da die *auto*-Problematik).

                        Aber bei all dem Aufwand kannst Du die Webseite auch gleich komplett auf nen andern Hoster wegziehen... so spannend sind die df-Vorzüge nun auch nicht mehr...

                        Kommentar


                          #27
                          Zitat von wsp Beitrag anzeigen

                          Wenn ich wecotec richtig verstanden habe, wird die Webseite an sich ja bei einem externen Anbieter (mit Gratis-SSL-Zertifikat) betrieben! Die Einbindung als ext. Domain wäre dann ja nur noch sinnvoll für den Mail-Betrieb..... (deshalb ja auch das screen-shotting der DNS-Einstellungen, die sollen ja weiterhin auf df zeigen - nur haben wir da die *auto*-Problematik).

                          Aber bei all dem Aufwand kannst Du die Webseite auch gleich komplett auf nen andern Hoster wegziehen... so spannend sind die df-Vorzüge nun auch nicht mehr...
                          Meine Beschreibung bezog sich darauf, dass das Webhosting (samt Email) weiter bei DF betrieben wird und die Domain selber bei einem anderen Anbieter liegt, der CAA-Records anbietet. SSL bei DF ist damit kein Problem (ich weiss jetzt nicht wie CAA-Records sich darauf auswirken).

                          Um bei uns den Aufwand in Grenzen zu halten habe ich das Mailhosting bisher nicht umgezogen. Das Webhosting für sich umzuziehen ist recht einfach.

                          Ich denke aber wir sollten die Diskussion an dieser Stelle beenden, sonst gibt es was von Herrn Dornblut aufs Dach....
                          Zuletzt geändert von wecotec; 23.02.2021, 10:04.
                          Markus
                          ---
                          https://www.facebook.com/markus.weber.180410

                          Kommentar


                            #28
                            Zitat von Ossi Beitrag anzeigen


                            Bei mir ist es aber so, dass die Forderung danach nicht auf unserem Mist gewachsen ist, sondern auf dem des Kunden. Das ist in diesem Fall eine Verwaltungsgemeinschaft und die hat in Sachen Datenschutz eine Datenschutzfirma beauftragt, die die insgesamt vier Websites der VG geprüft hat. Dann haben die uns einen ganzen Katalog an Maßnahmen zugeschickt, die wir umsetzen müssen.
                            Ich kenne solche Berichte durchaus auch ganz gut. Im Regelfall werden solchen Findings nach Klassen aufgeteilt und es würde mich sehr wundern, wenn das so absolut formuliert ist. Es gibt natürlich unendlich viele Maßnahmen die jeweils alle auch durchaus sinnvoll sind, nur ist es oft so, dass es mindestens eine Maßnahme bei jedem Anbieter gibt, die so nicht oder nur mit erheblichem Aufwand umsetzbar ist. Wie ist denn die genaue Forderung bezüglich RFC6844 formuliert?

                            Mit freundlichen Grüßen

                            Nils Dornblut
                            Blog - Facebook - Twitter
                            Communitybetreiber: domainfactory GmbH
                            Impressum / Pflichtangaben

                            Kommentar


                              #29
                              Hallo zusammen,

                              wir haben das Thema und Ihre Rückmeldungen intern an die passende Stelle weitergegeben und hoffen, dass wir CAA-Records in Zukunft anbieten können. Wann das genau sein wird, können wir aktuell leider noch nicht sagen. Sobald weitere Rückmeldungen dazu eintreffen, melden wir uns hier.

                              Mit freundlichen Grüßen

                              Nils Dornblut
                              Blog - Facebook - Twitter
                              Communitybetreiber: domainfactory GmbH
                              Impressum / Pflichtangaben

                              Kommentar


                                #30
                                Zitat von Nils Dornblut Beitrag anzeigen
                                Hallo zusammen,
                                wir haben das Thema und Ihre Rückmeldungen intern an die passende Stelle weitergegeben und hoffen, dass wir CAA-Records in Zukunft anbieten können. Wann das genau sein wird, können wir aktuell leider noch nicht sagen. Sobald weitere Rückmeldungen dazu eintreffen, melden wir uns hier.
                                Danke......auch wenn Sie nichts dafür können und einfach nur Ihren Job tun: diejenigen unter uns, die echon etwas länger dabei sind, kennen diese Rückmeldung und wissen auch was daraus wird :-(
                                Markus
                                ---
                                https://www.facebook.com/markus.weber.180410

                                Kommentar

                                Lädt...
                                X