DNSSEC Key-Change bei iWay

Dieser Artikel beschreibt, wie beim Registrar iWay ein DNSSEC Key-Change gemacht wird. Ein solcher Key-Change kann nötig werden, wenn der alte Key ersetzt werden muss, oder wenn - wie gerade im Feb. 2022 - der Algorithmus gewechselt werden muss.

Hintergrund zum Algorithmus-Change im Feb. 2022: Wir haben bisher für DNSSEC den Algorithmus "RSA-SHA1-NSEC3" (7) verwendet. Dieser wird aber seit einiger Zeit nicht mehr als sicher eingestuft. Deshalb haben wir im Februar 2022 auf "ECDSA Curve P-256 mit SHA-256" (13) umgestellt.

1. Login auf https://registrar.iway.ch/login.php
   
   
   
2. Die zu bearbeitende Domain auswählen:
   
   
   
3. Im Menu rechts auf "DNS Daten ändern" klicken:
   
   
4. Die Daten des neuen Keys aus dem Mail von Techstaff übernehmen:
   
   
   
5. Die Daten gemäss den farbigen Markierungen in die Felder bei iWay übertragen:
   Hinweis: Ich musste im Feb. 2022 den SHA-1 Eintrag von Techstaff wählen, weil bei iWay ein Fehler mit dem SHA-256 aufgetreten ist.
   
   
6. Den neuen Key mit "Daten speichern" speichern. Er sollte dann in der Liste unten auftauchen:
   Hinweis: Wenn Du zum ersten Mal DNSSEC einrichtest, hat's natürlich dann nur einen Key in der Tabelle.
   
   
7. Der neue Key muss sich nun durch das DNS propagieren. Dies kann mehrere Stunden dauern. Um zu prüfen, ob er z.B. bei Switch schon angekommen ist, kannst du auf einer Linux-Kommandozeile (z.B. auf trash.net):

   dig @a.nic.ch romanf.ch DS

   eingeben (natürlich ersetzt du romanf.ch durch deine Domain). Wenn in der "Answer section" der neue Key auftaucht, dann ist genug gewartet.
   
   
8. Jetzt musst du bei iWay den alten Key löschen, so dass nur noch der neue Key im Tool angezeigt wird:
   Auch dies muss sich erst durch das DNS propagieren. Also mit dem gleichen Befehl wie vorher prüfen, bis der alte Key nicht mehr in der Answer Section ist.
   
   
9. Nun kannst du Techstaff melden, dass der neue Key eingetragen und der alte gelöscht ist.

Bei Fragen wendest du dich am besten an Techstaff.