Domainit ja niihin liittyvät palvelut / asetukset / jne.

[tonkar]

Mikähän olisi kätevä, edullinen web hotel(?) englantia taitamattomalle vanhemmalle henkilölle? Vaatimuksena helppokäyttöisyys, siis että voi käyttöliittymästä helposti lisätä tekstiä, kuvia, alasivuja. Tällä hetkellä käyttää one.com mutta aivan liian kallis pienelle kotisivulle.

Olisiko jompikumpi näistä ok?

Webhotelli alk. 1,37 €/kk + ALV | Kotimainen ja edullinen webhotelli

Webhotellimme sijaitsevat suomalaisilla palvelimilla ja ovat helppoja käyttää. Palvelun saat käyttöösi jopa 5 minuutissa! Maksuton HTTPS/SSL.

www.xetnet.fi

Webhotellien vertailu - Domainhotelli

Vertaile webhotelleja ja teknisiä ominaisuuksia! Kaikissa webhotelleissa runsaasti levytilaa. Helppo päivittää isompaan tarpeen mukaan.

www.domainhotelli.fi

Ensimmäisessä jonkinlainen WebbiVelho alusta kuului hintaan. Toiseen täytyisi varmaan asentaa WordPress. Onko WP helppokäyttöinen?

 

[astronautti]

Sama vika rahikaisella, pikaisesti pitäisi löytää uusi webbihotelli. Oma .com-domain on Telia Inmics-Nebulalla (eli Webhotelli.fi:ssä), mutta hinta reilussa vuodessa pompahtanut noin 3,5-kertaiseksi.

Hetznerin Level 1 -webhosting plani riittäisi henk.kohtaisessa käytössä olevalle domainille. Lähinnä kaksi aktiivista sähköpostia, mutta wordpress-mahdollisuus pitää olla.

Hetzneristä suosituksia tai varoituksia?

Webhosting | Fast and Reliable (huom! hinnat Saksan ALV:llä ja siten pieni nousu hintaan taitaa tulla)

 

[oongee]

Hetzneristä suosituksia tai varoituksia?

Yleisesti ottaen hyvin luotettava ja laadukas firma, vaikka hinnat ovatkin varsin kilpailukykyiset. Mutta minulla ei ole tuosta heidän webhosting-tuotteesta kokemusta. Oma virtuaalikone on ollut Hetznerillä 10+ vuotta ja tutuilla näitä on myös. Kaikki toimii kuin junan vessa.

 

[terotin]

Meneekös fi-domainistakin nykyään ALV? Ainakin domainhotelli.fi uusimmasta hinnastosta poistui erityismaininta verottomasta viranomaismaksusta.

 

[Paapaa]

Meneekös fi-domainistakin nykyään ALV? Ainakin domainhotelli.fi uusimmasta hinnastosta poistui erityismaininta verottomasta viranomaismaksusta.

ALV oli jo ainakin edellisessä hinnastossa. Eli hinta nousee 11,9 e + ALV -> 13,9 e + ALV.

 

[AkQ]

ALV oli jo ainakin edellisessä hinnastossa. Eli hinta nousee 11,9 e + ALV -> 13,9 e + ALV.

Meneekös fi-domainistakin nykyään ALV? Ainakin domainhotelli.fi uusimmasta hinnastosta poistui erityismaininta verottomasta viranomaismaksusta.

Jos ilmottautuu Traficomille omien domainien välittäjäksi niin Fi-domainit maksaa edelleen 9€/v. En suosittele välittämään domaineja kuin vain ja ainoastaan itselle, koska muille välittämisessä tulee liuta erilaisia vastuita ja velvollisuuksia. Itse itselleen välittämisessä ei ole melkeinpä mitään väliä, muuten kuin että tulee sitä halvemmaksi mitä enemmän Fi-domaineja makselet per vuosi. Sen kuin klikuttelee ilmoittautumisen verkkotunnusvälittäjäksi Traficomille ja valmis.

 

[terotin]

ALV oli jo ainakin edellisessä hinnastossa. Eli hinta nousee 11,9 e + ALV -> 13,9 e + ALV.

No minulla on 5v kausi menossa, joten vain sähköposti-ilmoitusten mukaan olen käynyt katsomassa. Viimeksi vuosi sitten helmikuussa ilmoittelivat ja oli vielä 0%. Luonnollisesti oletin että Orpo on tämänkin nyt rukannut, mutta ihmettelin miten nopeasti tapahtuisi.

Jos ilmottautuu Traficomille omien domainien välittäjäksi niin Fi-domainit maksaa edelleen 9€/v. En suosittele välittämään domaineja kuin vain ja ainoastaan itselle, koska muille välittämisessä tulee liuta erilaisia vastuita ja velvollisuuksia. Itse itselleen välittämisessä ei ole melkeinpä mitään väliä, muuten kuin että tulee sitä halvemmaksi mitä enemmän Fi-domaineja makselet per vuosi. Sen kuin klikuttelee ilmoittautumisen verkkotunnusvälittäjäksi Traficomille ja valmis.

Taitaa minulla välittäjätunnuksetkin olla, mutta laiskuuttani annoin domainhotellin hoidettavaksi kun hinta oli alkujaan sama. Nyt jatkossa jo tuplahinta alveilla.

 

[jyk4]

minäkin heräilin kun tuli tuo domainhotelli.fi:n sähköposti että fi-domainin hinta on nyt 13.9€/vuosi. Kannattaako lähteä vaihtamaan, saako tuota halvemmalla mistään?
Kyseisellä putiikilla on ollut muuten ongelmia saada lähetettyä sähköistä laskua. Häiritsee käsin maksella sitä, silläkin ei haittaisi vaihtaa. En tiedä onko vika minun päässäni.

 

[terotin]

Nähtävästi 2016 tuli muutoksia tuohon fi-domainin hallintaan ja omat hallintatunnukset olivatkin ajalta ennen sitä, eikä nykysäädösten mukaiset välittäjätunnukset.

No onneksi tässä on vielä pari vuotta aikaa tutkia asiaa ennen seuraavaa uusimista.

 

[Aivotton]

Mistä olisi hyvä ostaa .fi päätteinen domain? Tarkoituksena olisi siirtää tämän domainin name server cloudflareen. Tällä hetkellä minulla on yks .FI domain gandissa mutta se maksaa 19€/vuosi. Katselin että domainkeskus ja domainhotelli olisi ~9€ mutta pitääkö heillä maksaa jotain extra kuluja nameserveristä tai jostain muusta piilokuluista? Otan mielelläni ehdotuksia vastaan! Kiitos

 

[Toffee]

Mistä olisi hyvä ostaa .fi päätteinen domain? Tarkoituksena olisi siirtää tämän domainin name server cloudflareen. Tällä hetkellä minulla on yks .FI domain gandissa mutta se maksaa 19€/vuosi. Katselin että domainkeskus ja domainhotelli olisi ~9€ mutta pitääkö heillä maksaa jotain extra kuluja nameserveristä tai jostain muusta piilokuluista? Otan mielelläni ehdotuksia vastaan! Kiitos

Pahoittelen jo etukäteen että tuli pitkä vastaus @Aivotton .

Domainhotelli on 9,90 euroa vain ensimmäisen vuoden. Tuohon päälle tulee vielä ALV 25,5% eli ensimmäisen vuoden hinta on 12,42€. Uusiminen vuodeksi maksaa 13,90 euroa + ALV 25,5% eli 17,44 euroa. Toki nyt heillä on nyt joku tarjous ensimmäisestä vuodesta, mutta pitkällä aikavälillä ensimmäisen vuoden säästö tuskin kannattaa ja tuokin tarjous on rajattu yhteen .fi-domainiin per asiakas.

Henkilökohtaisesti en voi Domainhotellia suositella ihan siitä syystä, että domainit ovat heillä kalliita jos ensimmäistä vuotta ei lasketa. Domainhotelli oli aikoinaan hyvä kun sieltä ennen sai oikeasti domainin 9 euroa vuosi (sis. ALV) eli viranomaismaksun hinnalla ja nimipalvelu oli ilmainen. Uusiminen maksoi myös tuon 9 euroa per vuosi.

Huhti-toukokuussa 2021 ilmaisesta nimipalvelusta alettiin veloittaa 0,50 euroa/kk (eli 6 euroa vuodessa + ALV) ja tuolloin oikein lihavoidulla teksillä verkkotunnuksen hinnan kerrottiin olevan "jatkossakin 9 €/vuosi". Vuonna 2023 ensimmäinen vuosi nousi 90 sentillä 9,90+ALV ja uusiminen nousi reilummin 11,90+ALV per vuosi. Tuolloin vaihdoin itse Domainhotellista pois, ja nyt hinnat siis nousseet entisestään – osoittaen minun tehneen oikean päätöksen. Nimipalvelukin maksaa heillä näemmä nyt 9 euroa vuodessa + ALV.

Tässä linkki ajantasaiseen hinnastoon.

Eli jos heiltä ottaa verkkotunnuksen ja nimipalvelun, ensimmäisen rekisteröintivuoden halvemman hinnan jälkeen hinta on 28,74 per vuosi per domain (sis. ALV). Törkeän hintaista, anteeksi nyt vaan. Ymmärrän kyllä kustannusten nousun, mutta vielä vuoden 2021 alussa nimipalvelun ja verkkotunnuksen olisi saanut 9 eurolla vuodessa.

--

Domainkeskuksesta ei ole omakohtaista kokemusta, mutta sivuilla lukee näin:

.FI – domainin rekisteröintimaksu on suora viranomaiskulu, sen lisäksi veloitamme aina palvelumaksun rekisteröinnin yhteydessä. Jos haluat rekisteröidä pelkän domainin ilman palveluita, valitse tilauksen yhteydessä Domainparkki-palvelu (6,30€+alv.). Palvelumaksua ei veloiteta erikseen, mikäli tilaat domainin yhteydessä webhotelli-palvelun.

Testasin myös käytännössä ja ostoskorin hinnaksi tuli yhdelle domainille ilman webhotellia 16,91 euroa eli juurikin ylläkuvatun kaltaisesti. Ilman domainparkkia tuota ei saa tilattua, ainakaan itse en saanut sitä ostoskorista poistettua.

--

Kun itse etsin .fi-domainilleni uutta kotia, en löytänyt yhtään josta sen olisi saanut viranomaiskulun hinnalla.

Itse käytän tätä nykyä XetNETiä, joka on (ainakin omissa mielikuvissa) pienempi firma. Mielummin tuen samalla rahalla pienempää yritystä, kuin maksan Domainhotellin/Planeetan kaltaisille isoille jäteille. Tosin tässä tapauksessa on noita em. firmoja halvempi.

Lisäksi hinta on ensimmäiselle vuodelle ja uusinnoille sama, 12 euroa vuosi + ALV eli 15,06 euroa/v. Selkeää ja toimivaa, asiakaspalvelu on asiansa osaavaa ja ystävällistä. Eikä domainparkkia pakkosyötetä, voit määrittää vaikka Cloudflaren nimipalvelimiksi eikä tarvitse maksaa "turhasta". Asiakaslähtöistä, kuten kuuluukin. Markkinoivat pääsääntöisesti yrityksille mutta myyvät myös yksityishenkilöille.

Aidosti kotimainen. Aidosti nopea. XetNET

 

[fin_modder]

Itsellä ollut jo yli neljä vuotta monia domaineja täältä: Hae vapaita verkkotunnuksia ja osta domain (fi, com, ym.)
Kaikilla sama setti, eli domaini tuolta ja NS:t heti siirtoon cloudflareen. Hinta tuon 18.50€/vuosi + alvit

 

[AkQ]

Halvimmalla pääsee kun rekisteröityy traficomiin välittäjäksi, ja välittää itse itselleen Fi-domainit.

9€ joka ikinen vuosi, ei alveja, ei piilokuluja.

Cloudflarelta ilmaiset nimipalvelimet.

Ei muuta kuin kovaan ajoon.

 

[Aivotton]

Pahoittelen jo etukäteen että tuli pitkä vastaus @Aivotton .

Domainhotelli on 9,90 euroa vain ensimmäisen vuoden. Tuohon päälle tulee vielä ALV 25,5% eli ensimmäisen vuoden hinta on 12,42€. Uusiminen vuodeksi maksaa 13,90 euroa + ALV 25,5% eli 17,44 euroa. Toki nyt heillä on nyt joku tarjous ensimmäisestä vuodesta, mutta pitkällä aikavälillä ensimmäisen vuoden säästö tuskin kannattaa ja tuokin tarjous on rajattu yhteen .fi-domainiin per asiakas.

Henkilökohtaisesti en voi Domainhotellia suositella ihan siitä syystä, että domainit ovat heillä kalliita jos ensimmäistä vuotta ei lasketa. Domainhotelli oli aikoinaan hyvä kun sieltä ennen sai oikeasti domainin 9 euroa vuosi (sis. ALV) eli viranomaismaksun hinnalla ja nimipalvelu oli ilmainen. Uusiminen maksoi myös tuon 9 euroa per vuosi.

Huhti-toukokuussa 2021 ilmaisesta nimipalvelusta alettiin veloittaa 0,50 euroa/kk (eli 6 euroa vuodessa + ALV) ja tuolloin oikein lihavoidulla teksillä verkkotunnuksen hinnan kerrottiin olevan "jatkossakin 9 €/vuosi". Vuonna 2023 ensimmäinen vuosi nousi 90 sentillä 9,90+ALV ja uusiminen nousi reilummin 11,90+ALV per vuosi. Tuolloin vaihdoin itse Domainhotellista pois, ja nyt hinnat siis nousseet entisestään – osoittaen minun tehneen oikean päätöksen. Nimipalvelukin maksaa heillä näemmä nyt 9 euroa vuodessa + ALV.

Tässä linkki ajantasaiseen hinnastoon.

Eli jos heiltä ottaa verkkotunnuksen ja nimipalvelun, ensimmäisen rekisteröintivuoden halvemman hinnan jälkeen hinta on 28,74 per vuosi per domain (sis. ALV). Törkeän hintaista, anteeksi nyt vaan. Ymmärrän kyllä kustannusten nousun, mutta vielä vuoden 2021 alussa nimipalvelun ja verkkotunnuksen olisi saanut 9 eurolla vuodessa.

--

Domainkeskuksesta ei ole omakohtaista kokemusta, mutta sivuilla lukee näin:


Testasin myös käytännössä ja ostoskorin hinnaksi tuli yhdelle domainille ilman webhotellia 16,91 euroa eli juurikin ylläkuvatun kaltaisesti. Ilman domainparkkia tuota ei saa tilattua, ainakaan itse en saanut sitä ostoskorista poistettua.

--

Kun itse etsin .fi-domainilleni uutta kotia, en löytänyt yhtään josta sen olisi saanut viranomaiskulun hinnalla.

Itse käytän tätä nykyä XetNETiä, joka on (ainakin omissa mielikuvissa) pienempi firma. Mielummin tuen samalla rahalla pienempää yritystä, kuin maksan Domainhotellin/Planeetan kaltaisille isoille jäteille. Tosin tässä tapauksessa on noita em. firmoja halvempi.

Lisäksi hinta on ensimmäiselle vuodelle ja uusinnoille sama, 12 euroa vuosi + ALV eli 15,06 euroa/v. Selkeää ja toimivaa, asiakaspalvelu on asiansa osaavaa ja ystävällistä. Eikä domainparkkia pakkosyötetä, voit määrittää vaikka Cloudflaren nimipalvelimiksi eikä tarvitse maksaa "turhasta". Asiakaslähtöistä, kuten kuuluukin. Markkinoivat pääsääntöisesti yrityksille mutta myyvät myös yksityishenkilöille.

Aidosti kotimainen. Aidosti nopea. XetNET

No huh... Kiitos selvennyksestä! Aika törkeää hinnoittelua että ~9.90€ tulee vuoden jälkeen melkeen 30€.
Tämä selvensi ja pitää tarkastella tuota xetnettiä!

Kiitos ja selityksesi oli todella hyvä ja varmasti joku muukin kohtaa saman ongelman kuin minä jossain vaiheessa!

 

[Aivotton]

Halvimmalla pääsee kun rekisteröityy traficomiin välittäjäksi, ja välittää itse itselleen Fi-domainit.

9€ joka ikinen vuosi, ei alveja, ei piilokuluja.

Cloudflarelta ilmaiset nimipalvelimet.

Ei muuta kuin kovaan ajoon.

Olen tuosta kuullut että voi itse rupea välittäjäksi. Liittyykö siihen jotain kauheeta ylimääräistä työtä tai jotain riskejä, jos itselleen välittää domaineja.

Voisitko myös antaa ohjeistuksen miten pystyy itse hommaamaan domainin ja saada cloudflaresta nimipalvelut käyttöön. Tämä nimittäin kiinnostaisi mutta en tiedä miten pitäisi toimia jotta onnistuisin tässä

 

[Paapaa]

No huh... Kiitos selvennyksestä! Aika törkeää hinnoittelua että ~9.90€ tulee vuoden jälkeen melkeen 30€.

No siis ei se domain niin paljon maksa. Domain maksaa siellä 13,90 €/vuosi + ALV eli 17.44e/v. Nimipalvelimet voi ottaa muualta vaikka ilmaiseksi.

Olen tuosta kuullut että voi itse rupea välittäjäksi. Liittyykö siihen jotain kauheeta ylimääräistä työtä tai jotain riskejä, jos itselleen välittää domaineja.

Tästä on keskusteltu aiemmin. On vaatimuksia, mutta aiemmin niitä ei ole juuri valvottu. Mutta kysyin asiaa Traficomilta ja tässä vastauksia:

Domainit ja niihin liittyvät palvelut / asetukset / jne.

Miten tuo DMARC otetaan käyttöön? Cloudflarella leikkiessä näyttää suoraan ehdottavan jotain, liekö sama hyväksyä sellaisenaan? Toinen juttu nuo SSL/TLS asetuksista Cloudflaressa, eihän niitä tarvitse, jos ei webbisivuja aio ottaa käyttöön vaan pelkkä email tarkoitus olla käytössä domainille?

bbs.io-tech.fi

On sitten jokaisen asia, montako euroa vuodessa kannattaa säästää tuollaisen takia. Ja riippuu tietenkin jokaisen tilipussien koosta.

 

[Obi-Lan]

Töissä tuota NIS2 byrokratiaa jonkin verran vilkaissut ja kyllä siinä lähtee järki. Ongelma tässä ehkä on, että 20e vuodessa on yritykselle olematon pikkuraha, jos jonkun pitää tehdä töitä siihen liittyen niin pelkkää tappiota.

ovh.com näyttäisi tarjoavan .fi domaineja 12.89e+ alv /vuosi, Hetzner 20.99e/vuosi sis ALV ilmeisesti.

 

[Aivotton]

No siis ei se domain niin paljon maksa. Domain maksaa siellä 13,90 €/vuosi + ALV eli 17.44e/v. Nimipalvelimet voi ottaa muualta vaikka ilmaiseksi.



Tästä on keskusteltu aiemmin. On vaatimuksia, mutta aiemmin niitä ei ole juuri valvottu. Mutta kysyin asiaa Traficomilta ja tässä vastauksia:

Domainit ja niihin liittyvät palvelut / asetukset / jne.

Miten tuo DMARC otetaan käyttöön? Cloudflarella leikkiessä näyttää suoraan ehdottavan jotain, liekö sama hyväksyä sellaisenaan? Toinen juttu nuo SSL/TLS asetuksista Cloudflaressa, eihän niitä tarvitse, jos ei webbisivuja aio ottaa käyttöön vaan pelkkä email tarkoitus olla käytössä domainille?

bbs.io-tech.fi

On sitten jokaisen asia, montako euroa vuodessa kannattaa säästää tuollaisen takia. Ja riippuu tietenkin jokaisen tilipussien koosta.

Olen varmaan ymmärtänyt jotain väärin mutta enkö tarvitse domainvälittäjältä nimipalvelu jotta voisin käyttää cloudflareen omaa nimipalvelut, sillä eikö domain joka on muualta ostettu pidä osoittaa tuonne cloudflareen nimipalvelun avulla?

 

[Paapaa]

Olen varmaan ymmärtänyt jotain väärin mutta enkö tarvitse domainvälittäjältä nimipalvelu jotta voisin käyttää cloudflareen omaa nimipalvelut, sillä eikö domain joka on muualta ostettu pidä osoittaa tuonne cloudflareen nimipalvelun avulla?

Et tarvitse. Mulla esim. on Domainhotellista yksi fi-domain, ei tuota 9e/v nimipalvelua (Nimipalvelu (DNS) - Domainhotelli). Mulla on nimipalvelu AWS:ssä eli pointtaan domainhotellista NS-tietueet AWS:ään, jossa sitten Route53 hoitaa varsinaisesti nimipalvelun. Eli tuon osoittamisen voi tehdä ilman sitä 9e pavelua. 9e palvelulla voit sitten luoda kaikki muut DNS-tietueet suoraan Domainhotellista ja sinne tulisi cPanel-käyttäliittymä. Ja NS-tietueet pointtaisivat Domainhotellin nimipalvelimiin. Samoin esim. DNSSEC onnistuu ilman nimipalvelua.

 

[AkQ]

Traficomin fi-verkkotunnusten välittäjänä olet vastuussa asiakaillesi, mutta jos asiakas olet sinä itse niin .. heh.

Mulla on itellä 6 tai 7 fi-domainia, ja vaikka puhutaankin vain vuosittaisista maksuista niin säästö se on sekin, varsinkin tässä lamassa.

Traficomiin välittäjäksi rekisteröityminen on helppoa ja vie aikaa noin 30 sec.

Huom: Välitä domaineja vain itsellesi.

 

[Toffee]

Olen varmaan ymmärtänyt jotain väärin mutta enkö tarvitse domainvälittäjältä nimipalvelu jotta voisin käyttää cloudflareen omaa nimipalvelut, sillä eikö domain joka on muualta ostettu pidä osoittaa tuonne cloudflareen nimipalvelun avulla?

Ei tarvitse. Domainkeskus vaatii ostamaan nimipalvelut jos ei osta webhotellia, Domainhotelli ei. Voit määrittää verkkotunnukselle omat nimipalvelimet, jolloin et tarvitse ostaa nimipalveluja (olikohan nimellä 1 tähden webhotelli Domainhotellilla?). Esim. Cloudflare on nimipalvelu itsessään, jonka nimipalvelimet domainille määrität.

Mutta Domainhotelli on silti kallis jos ei ensimmäisen vuoden hintaa lasketa, uusintahinta 17,44 per vuosi (sis. alv) vs. Xetnetin 15,06 vuosi.

Halvempaa sis. ALV hintaa en itse ole löytänyt kuin tuo XetNET, saa vinkata jos löytyy.

Nostin tuon Domainhotellin uusinta + nimipalvelut -hinnan esimerkiksi siitä, kuinka ennen yht. 9€/vuosi palvelut maksavat tätä nykyä about kolminkertaisesti per vuosi (sis. ALV), jos sitä ensimmäistä vuotta ei lasketa. Tuon Domainhotellin pelkän uusinnan hinnan (17,44/v sis. alv) mainitsin kyllä viestini alussa.

Tietenkin välittäjäksi rekisteröityminen on yksi vaihtoehto, mutta itse en kyllä siihen muutaman euron säästön vuoksi ryhtyisi. Siinä on omat vaatimuksensa ja vastuunsa, joiden ottaminen niskoilleen ei ole säästön arvoista. Käyn ennemmin vaikka kerran vähemmän kahvilla vuodessa per domain.

 

[embedded]

Otin cloudflaren maksullisen domainhostingin nettipalvelulle. Web-serveri on eri paikassa ja sieltä lähtee phpmaililla sähköpostia.
Cloudflaressa on sähköpostiosoitteiden kääntö lisätty gmailiin.
Miten ja mitä cloudflaressa pitäisi configuroida ettei gmailista ja php:sta lähettyt mailit jää roskapostisuodattimiin ? varmaan dkim ainakin mutta mitä muuta?

 

[MrB]

Otin cloudflaren maksullisen domainhostingin nettipalvelulle. Web-serveri on eri paikassa ja sieltä lähtee phpmaililla sähköpostia.
Cloudflaressa on sähköpostiosoitteiden kääntö lisätty gmailiin.
Miten ja mitä cloudflaressa pitäisi configuroida ettei gmailista ja php:sta lähettyt mailit jää roskapostisuodattimiin ? varmaan dkim ainakin mutta mitä muuta?

Spf ja dkim jiiriin niin pitäis aika hyvin toimis

 

[Paapaa]

Miten ja mitä cloudflaressa pitäisi configuroida ettei gmailista ja php:sta lähettyt mailit jää roskapostisuodattimiin ? varmaan dkim ainakin mutta mitä muuta?

dkim, spf ja dmarc ovat perussetti, joka kannattaa laittaa kuntoon. Dkim on allekirjoitus, joka auttaa varmistamaan, että mailin on lähettänyt luotettava taho. Spf kertoo miltä servereiltä mailit lähetetään ja auttaa havaitsemaan jos niitä lähetetään muualta. Dmarc kertoo mitä tehdään mailille jos spf ja dkim -testit epäonnistuivat: esim. merkataan roskapostiksi. Täällä lisää infoa:

https://www.cloudflare.com/learning/email-security/dmarc-dkim-spf/

Sivun alareunassa linkit tarkempiin ohjeisiin. Netissä on noille testereitä, joilla kannattaa varmistaa että on tehnyt oikeat DNS-tietueet. Ja kannattaa testailla että mailit vielä menevät oikein perille.

 

[embedded]

dkim, spf ja dmarc ovat perussetti, joka kannattaa laittaa kuntoon. Dkim on allekirjoitus, joka auttaa varmistamaan, että mailin on lähettänyt luotettava taho. Spf kertoo miltä servereiltä mailit lähetetään ja auttaa havaitsemaan jos niitä lähetetään muualta. Dmarc kertoo mitä tehdään mailille jos spf ja dkim -testit epäonnistuivat: esim. merkataan roskapostiksi. Täällä lisää infoa:

https://www.cloudflare.com/learning/email-security/dmarc-dkim-spf/

Sivun alareunassa linkit tarkempiin ohjeisiin. Netissä on noille testereitä, joilla kannattaa varmistaa että on tehnyt oikeat DNS-tietueet. Ja kannattaa testailla että mailit vielä menevät oikein perille.

Kiitos

Ainakin php:n lähettämä posti gmailin kolmanteen osoitteeseen näyttää lähdekoodissa että nämä on kunnossa, tuo dmarc taitaa olla vaikeampi asettaa...
dkim=pass header.i=@xxxxxxx.xxx header.s=zone header.b=odXXXXXXX;
spf=pass (google.com: domain of xxxx@xxxxxxx.xxx designates 99.99.99.99 as permitted sender) smtp.mailfrom=xxxx@xxxxxxx.xxx
(tunnistetiedot spoofattu)

 

[Paapaa]

dmarc taitaa olla vaikeampi asettaa

Ei se sen vaikeampi ole. Yksi TXT-tietue vain. Mutta ohjeena on, että aluksi laittaa "p=none" ja asettaa jonkun sopivan mailiosoitteen, jonne aggregoidut raportit lähetetään elu "rua=mailto:raportit@munosoite.fi". Noin näkee jos tulee ongelmia. Sitten voi nostaa "p=quarantine" ja jossain vaiheessa ottaa rua:n pois. Korkein taso on sitten "p=reject".

 

[Aladdin Sane]

Ei se sen vaikeampi ole. Yksi TXT-tietue vain. Mutta ohjeena on, että aluksi laittaa "p=none" ja asettaa jonkun sopivan mailiosoitteen, jonne aggregoidut raportit lähetetään elu "rua=mailto:raportit@munosoite.fi". Noin näkee jos tulee ongelmia. Sitten voi nostaa "p=quarantine" ja jossain vaiheessa ottaa rua:n pois. Korkein taso on sitten "p=reject".

Ei tuonne dmarciin tarvi omaa domainia laittaa raporteille osoitteeksi vaan se Cloudflaren wizardi luo sinne geneeriseen osoitteen tuota varten ja raportit näkyy siellä omien hallintasivujen osiossa. Sitä wizardin tekemää dmarcia voi sitten kustomoida itselleen sopivaksi. Muistaakseni omasta toimivasta olen tähän ketjuun postannut joskus esimerkin.

EDIT: tuossa näkyykin millaiset asetukset itselläni on ja tosiaan se tyyli millainen se geneerinen raporttien osoite on muodossaan.
https://bbs.io-tech.fi/threads/doma...velut-asetukset-jne.9118/page-6#post-12798690

Unohtunut tähän ketjuun mainita, että se oma ongelma tuon iCloud custom domainin kanssa ratkesi lopulta about 1 vuoden odottelun jälkeen. Vian syy oli todellakin Apple puolella ja tuon aikaa kesti, että siellä joku "engineer" jolla oli tarpeeksi isot natsat perehtyi viimeinkin asiaan, sai käsin korjattua sen mikä siinä ikinä vikana olikin ja mitä käyttäjä ei voinut mitenkään itse korjata.

 

[olkitu]

Ei se sen vaikeampi ole. Yksi TXT-tietue vain. Mutta ohjeena on, että aluksi laittaa "p=none" ja asettaa jonkun sopivan mailiosoitteen, jonne aggregoidut raportit lähetetään elu "rua=mailto:raportit@munosoite.fi". Noin näkee jos tulee ongelmia. Sitten voi nostaa "p=quarantine" ja jossain vaiheessa ottaa rua:n pois. Korkein taso on sitten "p=reject".

Ei tuota raportointiosoitetta kannata pois ottaa. Hyvä se pitää jos jotakin tapahtuu tietää että onko joku pielessä ja näkee kuinka tehokas dmarc. Omaan sähköpostiin ei niitä kannata kerätä mutta jos esim käyttää Cloudflarea sieltä saa ilmaiseksi hyvän raportointipalvelun ja muitakin netissä pullollaan. Mailhardenerille suositus toimii ja valvoo myös DNS muutoksia.

 

[timppeli]

Mikä on yksinkertaisin tapa uusia käsin DNSSEC:ssä ZSK:t ja KSK:t uusilla, aiheuttamatta domainin katoamista maailmalta joksikin aikaa? NSEC3 on myös käytössä koska miksipäs ei.

Jos luon nykyisten ZSK ja KSK rinnalle uudet avaimet käyttöön, Traficomin domain-palvelu tuntuu alkavan ainakin yleensä heti valittamaan nimipalvelutietojen teknisessä tarkistuksessa ettei ole validia DS-tietuetta RRSIG-tarkistamiseen vai oliko se toisinpäin en muista.
Domain tuntuu kyllä edelleen toimivan, nimipalvelut maailmalla näkevät domainin jne., mutta Traficomin mielestä domainin DNSSEC on rikki koska siellä on 2x KSK ja ZSK samaan aikaan käytössä.

Jos tässä vaiheessa poistan vanhat ZSK ja KSK käytöstä, Traficom on jälleen tyytyväinen mutta domain saattaa kadota maailmalta ainakin joksikin aikaa, liittyen kaiketi TTL:ään eli miten nopeasti uudet avaimet/signaturet maailmalle leviävät? Miten tämän voi välttää, jos kerran kaksien avaimien pitäminen aktiivisina samanaikaisesti ei ole Traficomin mielestä ok?

Lisäksi huomasin että kun yhdelle domainille vaihdoin molemmat avaimet, yleisesti ottaen internetin eri DNSSEC-tarkistusohjelmat näyttävät vihreää valoa ja domain alidomaineineen tuntuu löytyvän maailman eri palveluista kun kyselee... mutta perskeleen DNA:n nimipalvelu tuntuu kadottavan ainakin alidomainit yli 10 tunniksi?

Esim. Telian yhteydellä ei ongelmaa (eikä internetin lukuisilla palveluilla mitä testasin), DNA-yhteydellä päädomaini esimerkki.fi tuntuu saavan IP-osoitteen mutta www.esimerkki.fi ja muut alidomainit ovat hukassa.

Olen mielestäni törmännyt tähän samaan DNA:n kanssa aiemminkin, voi mennä vuorokausi ennenkuin heidän käyttäjillään (ali)domainit näkyvät jälleen DNSSEC-avainten vaihdosten jälkeen?

Jos tämä riippuu jotenkin domainin tai alidomainien TTL-arvoista, miksi se tuntuu vaikuttavan vain DNA:han?

Tämmöisten epäselvyyksien ja ongelmien takia ei välttis haluaisi käyttää DNSSEC ollenkaan, ehkä auttaisi jos ymmärtäisin mitä teen väärin.

 

[timppeli]

Perään toinen DNSSEC-kysymys, eli jos haluan luopua DNSSEC käytöstä jollain domainilla, miten pitää menetellä aiheuttamatta katkoa domainin nimipalveluihin?

Pitääkö nimipalvelussa ensin käydä sanomassa että älä käytä DNSSEC (en tiedä kannattaako ja tarvitseeko avaimia poistaa ennen tätä, otaksun että ei, eihän niitä enää listata jos täppäät DNSSEC pois päältä), ja sitten rientää Traficomin domain-palveluun ajamaan DNSSEC-uusinnan jotta sielläkin päässä tajutaan ettei nimipalvelu tarjoa enää mitään DNSSEC-avaimia?

Vai pitääkö toimi juuri päinvastoin, eli Traficomissa käy poistamassa siellä näkyvät DNSSEC-avaimet, ja sitten vasta nimipalvelussa käydä sanomassa että älä käytä enää DNSSEC:iä?

Pitääkö jossain välissä käydä pitkällä kahvitauolla ennenkuin tekee mitään TTL takia?

 

[olkitu]

Mikä on yksinkertaisin tapa uusia käsin DNSSEC:ssä ZSK:t ja KSK:t uusilla, aiheuttamatta domainin katoamista maailmalta joksikin aikaa? NSEC3 on myös käytössä koska miksipäs ei.

Jos luon nykyisten ZSK ja KSK rinnalle uudet avaimet käyttöön, Traficomin domain-palvelu tuntuu alkavan ainakin yleensä heti valittamaan nimipalvelutietojen teknisessä tarkistuksessa ettei ole validia DS-tietuetta RRSIG-tarkistamiseen vai oliko se toisinpäin en muista.
Domain tuntuu kyllä edelleen toimivan, nimipalvelut maailmalla näkevät domainin jne., mutta Traficomin mielestä domainin DNSSEC on rikki koska siellä on 2x KSK ja ZSK samaan aikaan käytössä.

Jos tässä vaiheessa poistan vanhat ZSK ja KSK käytöstä, Traficom on jälleen tyytyväinen mutta domain saattaa kadota maailmalta ainakin joksikin aikaa, liittyen kaiketi TTL:ään eli miten nopeasti uudet avaimet/signaturet maailmalle leviävät? Miten tämän voi välttää, jos kerran kaksien avaimien pitäminen aktiivisina samanaikaisesti ei ole Traficomin mielestä ok?

Lisäksi huomasin että kun yhdelle domainille vaihdoin molemmat avaimet, yleisesti ottaen internetin eri DNSSEC-tarkistusohjelmat näyttävät vihreää valoa ja domain alidomaineineen tuntuu löytyvän maailman eri palveluista kun kyselee... mutta perskeleen DNA:n nimipalvelu tuntuu kadottavan ainakin alidomainit yli 10 tunniksi?

Esim. Telian yhteydellä ei ongelmaa (eikä internetin lukuisilla palveluilla mitä testasin), DNA-yhteydellä päädomaini esimerkki.fi tuntuu saavan IP-osoitteen mutta www.esimerkki.fi ja muut alidomainit ovat hukassa.

Olen mielestäni törmännyt tähän samaan DNA:n kanssa aiemminkin, voi mennä vuorokausi ennenkuin heidän käyttäjillään (ali)domainit näkyvät jälleen DNSSEC-avainten vaihdosten jälkeen?

Jos tämä riippuu jotenkin domainin tai alidomainien TTL-arvoista, miksi se tuntuu vaikuttavan vain DNA:han?

Tämmöisten epäselvyyksien ja ongelmien takia ei välttis haluaisi käyttää DNSSEC ollenkaan, ehkä auttaisi jos ymmärtäisin mitä teen väärin.

Ainoa tapa käytännössä on generoida uudet DNSSEC-avaimet (vain yksi nimipalvelimella usein voi olla kerralla per zone) ja sitten ilmoittaa uudet avaimet rinnakkain nykyisten avainten kanssa registryyn. Myöhemmin kun TTL ohi voi poistaa vanhat avaimet. TTL voi olla pitkä joten pari päivän päästä voi DS avaimet poistaa. DNSSEC testeillä kannattaa tarkistaa että validointi menee läpi.

Perään toinen DNSSEC-kysymys, eli jos haluan luopua DNSSEC käytöstä jollain domainilla, miten pitää menetellä aiheuttamatta katkoa domainin nimipalveluihin?

Pitääkö nimipalvelussa ensin käydä sanomassa että älä käytä DNSSEC (en tiedä kannattaako ja tarvitseeko avaimia poistaa ennen tätä, otaksun että ei, eihän niitä enää listata jos täppäät DNSSEC pois päältä), ja sitten rientää Traficomin domain-palveluun ajamaan DNSSEC-uusinnan jotta sielläkin päässä tajutaan ettei nimipalvelu tarjoa enää mitään DNSSEC-avaimia?

Vai pitääkö toimi juuri päinvastoin, eli Traficomissa käy poistamassa siellä näkyvät DNSSEC-avaimet, ja sitten vasta nimipalvelussa käydä sanomassa että älä käytä enää DNSSEC:iä?

Pitääkö jossain välissä käydä pitkällä kahvitauolla ennenkuin tekee mitään TTL takia?

Poistamalla registrystä DS tietueen eli avaimet niin silloin poistuu käytöstä pikkuhiljaa TTL:n mukaisesti. TTL on todella pitkä joku päivä pari kannattaa odottaa.

 

[timppeli]

Ainoa tapa käytännössä on generoida uudet DNSSEC-avaimet (vain yksi nimipalvelimella usein voi olla kerralla per zone) ja sitten ilmoittaa uudet avaimet rinnakkain nykyisten avainten kanssa registryyn. Myöhemmin kun TTL ohi voi poistaa vanhat avaimet. TTL voi olla pitkä joten pari päivän päästä voi DS avaimet poistaa. DNSSEC testeillä kannattaa tarkistaa että validointi menee läpi.

Tarkoitatko registryllä esim. fi-domainien tapauksessa Traficomin login.domain.fi palvelua?

Nimipalvelimilla voin luoda monta ZSK ja KSK avainta ja merkata vaikka kaikki käyttöön, ja Traficomin palvelussa kun laitan domainin DNSSEC kohdalla "Hae DS-tietueet nimipalvelimelta", se listaa kaikki KSK:t jotka olen merkannut käytettäväksi nimipalvelimella. Jokaisen kohdalla on roskispönttöikoni sivussa jonka oletan tarkoittavan että voin palvelussa valita mitä KSK-avaimista käytetään, mutta minulle on vähän epäselvää pitäisikö siinä jotain poistaa.

Jos luon vanhentuvien ZSK ja KSK rinnalle nimipalvelimella uudet ja merkkaan nekin käyttöön, ja sitten käyn Traficom palvelussakin merkkaamassa sekä uudet että vanhat käyttöön, antaa Traficom sen jälkeen mielestäni aina varoitusta että jotain hämminkiä avainten ja allekirjoitusten kanssa, ja merkkaa punaisella lukolla että domainin DNSSEC on rikki.

Pitäisikö tästä olla välittämättä ja antaa uusien ja vanhojen muhia aktivoituina päivä, minkä jälkeen uskaltaa käydä poistamassa vanhat avaimet?

Poistamalla registrystä DS tietueen eli avaimet niin silloin poistuu käytöstä pikkuhiljaa TTL:n mukaisesti. TTL on todella pitkä joku päivä pari kannattaa odottaa.

Juuri äsken tein yhdelle domainille näin eli poistin koko DNSSEC käytöstä (poistin myös kaikki uudet ja vanhat avaimet) koska en vain millään saanut uusia avaimia luotua ja aktivoitua siten ettei Traficom olisi valittanut niistä että DS:ssä on vikaa tms. Poistin sitten koko DNSSEC:n toistaiseksi, tarkkailin näkyykö domain maailmalle hakemalla sitä esim. SSL Labs Test-palvelussa, ja olihan se ainakin sille varmaan vajaan tunnin kadoksissa mutta onneksi alkoi sen jälkeen taas IP-osoite löytyä. Huomenna kai taas enabloin DNSSEC:n sille, luon uudet avaimet jne., toivottavasti onnistuu tällä kertaa.

Se näissä DNSSEC-väsäilyissä just harmittaa kun tuntuu että välillä menee vikaan vaikka mielestäni tein täysin samalla tavalla kuin joidenkin muiden kanssa missä häikkää ei ilmennyt. Esim. yllämainitsemani domain, en ymmärrä miksi Traficomin palvelu jatkuvasti valitti DS-tietueiden tai allekirjoitusten yhteensopimattomuudesta, ja olisiko se mennyt läpi odottamalla. Hämärää touhua, yritän kovasti ymmärtää miten DNSSEC toimii mutta vaikeaa on.

 

[oongee]

Jos luon vanhentuvien ZSK ja KSK rinnalle nimipalvelimella uudet ja merkkaan nekin käyttöön, ja sitten käyn Traficom palvelussakin merkkaamassa sekä uudet että vanhat käyttöön, antaa Traficom sen jälkeen mielestäni aina varoitusta että jotain hämminkiä avainten ja allekirjoitusten kanssa, ja merkkaa punaisella lukolla että domainin DNSSEC on rikki.

Totean ensin, että minulla ei ole tästä DNSSEC-avaimien vaihdosta Traficomin kohdalla henkilökohtaista kokemusta, ja kiinnostuneena seuraan kommenttejasi asiasta. Olen itse arvellut homman olevan hankalaa ja pyrkinyt välttämään sitä. DNSSEC on myös itselläni käytössä ja olen Traficomin verkkotunnusvälittäjä. Nimimerkin olkitu kommentit tuntuvat oikean suuntaisilta.

Traficomin automaattitarkastuksista voin todeta yleisellä tasolla sen, että niistä on välillä enemmän haittaa kuin hyötyä. Esim. jos teet domainin nimipalvelimien vaihtoa, pitää se tehdä Traficomin automaattitarkastuksen näkökulmasta juuri tietyssä järjestyksessä, joka voi jossain tapauksissa olla muuten epäoptimaalinen. Se haluaa, että fi-juuren "glue" NS-tietueet täsmäävät 1:1 zonessa oleviin NS-tietueisiin, vaikka siirtymää tehdessä olisi usein fiksua, että zonessa olisi sekä vanhat että uudet NS:t rinnakkain juureen muutosta tehdessä. Mutta Traficomin tarkistus valittaa tästä, vaikkei siinä ole mitään todellista teknistä ongelmaa. Ja muitakin vastaavia asioita on.

Eli tämä nyt vain tällaisena yleisenä toteamuksena, että niihin Traficomin automaattitarkastuksiin ei pidä suhtautua minään absoluuttisena totuutena, miten asiat pitää hoitaa. En tiedä mitään muuta juuridomainia, jolla olisi vastaavia turhan tarkkoja tarkastuksia käytössä, joten kaikkien muiden kuin fi-domainien tekniset muutokset ovat yleensä helpompia. Sama voi hyvinkin koskea DNSSEC-avaimien kierrätystä. Traficomin toimintatapa tässä kuvastanee suomalaisten erityispiirrettä kansana, joka haluaa tarkkoja sääntöjä ja takertuu sitten niihin pilkun tarkasti.

Traficomilta saa neuvontaa, ja siellä on asiantuntevaa porukkaa töissä, joten voit halutessasi olla sinne yhteydessä ja kysyä heiltä ohjeistusta, miten tämä pitäisi heidän mielestään tehdä niin, ettei ongelmia ja riskiä validoinnin väliaikaiselle hajoamiselle tule. Kirjoittele mielellään päivitystä, etenkin jos löydät tavan joka johtaa katastrofiin. Toivottavasti niin ei käy.

 

[timppeli]

Totean ensin, että minulla ei ole tästä DNSSEC-avaimien vaihdosta Traficomin kohdalla henkilökohtaista kokemusta, ja kiinnostuneena seuraan kommenttejasi asiasta. Olen itse arvellut homman olevan hankalaa ja pyrkinyt välttämään sitä. DNSSEC on myös itselläni käytössä ja olen Traficomin verkkotunnusvälittäjä. Nimimerkin olkitu kommentit tuntuvat oikean suuntaisilta.

Traficomin automaattitarkastuksista voin todeta yleisellä tasolla sen, että niistä on välillä enemmän haittaa kuin hyötyä. Esim. jos teet domainin nimipalvelimien vaihtoa, pitää se tehdä Traficomin automaattitarkastuksen näkökulmasta juuri tietyssä järjestyksessä, joka voi jossain tapauksissa olla muuten epäoptimaalinen. Se haluaa, että fi-juuren "glue" NS-tietueet täsmäävät 1:1 zonessa oleviin NS-tietueisiin, vaikka siirtymää tehdessä olisi usein fiksua, että zonessa olisi sekä vanhat että uudet NS:t rinnakkain juureen muutosta tehdessä. Mutta Traficomin tarkistus valittaa tästä, vaikkei siinä ole mitään todellista teknistä ongelmaa. Ja muitakin vastaavia asioita on.

Eli tämä nyt vain tällaisena yleisenä toteamuksena, että niihin Traficomin automaattitarkastuksiin ei pidä suhtautua minään absoluuttisena totuutena, miten asiat pitää hoitaa. En tiedä mitään muuta juuridomainia, jolla olisi vastaavia turhan tarkkoja tarkastuksia käytössä, joten kaikkien muiden kuin fi-domainien tekniset muutokset ovat yleensä helpompia. Sama voi hyvinkin koskea DNSSEC-avaimien kierrätystä. Traficomin toimintatapa tässä kuvastanee suomalaisten erityispiirrettä kansana, joka haluaa tarkkoja sääntöjä ja takertuu sitten niihin pilkun tarkasti.

Traficomilta saa neuvontaa, ja siellä on asiantuntevaa porukkaa töissä, joten voit halutessasi olla sinne yhteydessä ja kysyä heiltä ohjeistusta, miten tämä pitäisi heidän mielestään tehdä niin, ettei ongelmia ja riskiä validoinnin väliaikaiselle hajoamiselle tule. Kirjoittele mielellään päivitystä, etenkin jos löydät tavan joka johtaa katastrofiin. Toivottavasti niin ei käy.

Juu, kiitos, pidän aivan mahdollisena että Traficomin valitus jos pitää kaksia KSK ja ZSK avaimia samanaikaisesti aktiivisina saattaa olla turha. Päättelen tämän siitä että muut ulkoiset DNSSEC checkerit taitavat edelleen sanoa kaiken olevan ok, eikä domain muutenkaan tunnu katoavan minnekään eli ilmeisesti DNSSEC edelleen toimii vaikka Traficomin palvelu jotain valittaakin.

Onko jollain muuten tietoa mitä algoritmia DNSSEC-avaimissa tulisi käyttää? Eräs suomalainen operaattori väittää ettei tulisi käyttää esim. RSA/SHA512 koska se ei kuulemma ole kaikkialla käytössä. Sikäli ihmettelen koska käyttämäni nimipalvelu tarjoaa juuri sitä oletusarvoiseksi algoritmiksi DNSSEC:lle, muut vaihtoehdot ovat heikompia eli SHA256 ja SHA-1, eivätkä kokeilemani DNSSEC checkerit tai myöskään Traficom valita mitään jos käyttää tuota algoritmia.

Entä onko esim. 1024 bitin koko avaimille ok, vrt. 512 tai 2048?

 

[oongee]

Onko jollain muuten tietoa mitä algoritmia DNSSEC-avaimissa tulisi käyttää? Eräs suomalainen operaattori väittää ettei tulisi käyttää esim. RSA/SHA512 koska se ei kuulemma ole kaikkialla käytössä. Sikäli ihmettelen koska käyttämäni nimipalvelu tarjoaa juuri sitä oletusarvoiseksi algoritmiksi DNSSEC:lle, muut vaihtoehdot ovat heikompia eli SHA256 ja SHA-1, eivätkä kokeilemani DNSSEC checkerit tai myöskään Traficom valita mitään jos käyttää tuota algoritmia.

Entä onko esim. 1024 bitin koko avaimille ok, vrt. 512 tai 2048?

En vastaa varsinaisesti kysymykseesi, mutta kerron oman lähestymistapani asiaan, jolla voi ulkoistaa päätöksien teon näistä asioista automatiikalle, jonka on toteuttanut joku minua fiksumpi.

En tiedä mikä DNS-serveri sinulla on käytössä, mutta BIND:in täysin automatisoitu DNSSEC, joka siihen versiossa 9.16 ilmestyi aiempien hankalampien tapojen rinnalle, on ollut todella kätevä. Oletan, että BIND:in tekijöillä on minua parempi asiantuntemus oikeiden algoritmien jne. detaljien valintaan. Tuolla on ainakin dokumentaatiota tähän lähestymistapaan: 5. DNSSEC — BIND 9 9.18.30 documentation ja DNSSEC Key and Signing Policy

Käytännössä siis ainoat tekemäni DNSSEC-asetukset ovat "dnssec-policy default;" ja "inline-signing yes;" BIND:in konfiguraatiossa kullakin zonella. Sen jälkeen olen vain importannut juureen kunkin zonen DS-tietueen. Tuo toimii todella kätevästi noin, ilman että tarvitsee erityisemmin miettiä noita avaimia, algoritmeja ja allekirjoituksia detaljitasolla tai tehdä muutenkaan yhtään mitään sen jälkeen kun asetukset on kertaalleen tehnyt.

Tuo tuottaa käytännössä ECDSAP256SHA256 -algoritmilla toteutetun allekirjoituksen. EC-pohjaisissa kryptojutuissa on ainakin yleisenä etuna RSA-pohjaisiin verrattuna se, että avaimet ja allekirjoitukset ovat kooltaan pienempiä, joten on todennäköisempää, että ne mahtuvat yhteen UDP-pakettiin (jolloin resolvoiminen on nopeampaa kuin silloin jos resolveri joutuu vaihtamaan TCP-yhteyteen).

 

[timppeli]

Käytännössä siis ainoat tekemäni DNSSEC-asetukset ovat "dnssec-policy default;" ja "inline-signing yes;" BIND:in konfiguraatiossa kullakin zonella. Sen jälkeen olen vain importannut juureen kunkin zonen DS-tietueen. Tuo toimii todella kätevästi noin, ilman että tarvitsee erityisemmin miettiä noita avaimia, algoritmeja ja allekirjoituksia detaljitasolla tai tehdä muutenkaan yhtään mitään sen jälkeen kun asetukset on kertaalleen tehnyt.

Eikö sinun siis tarvitse tehdä yhtikäs mitään, DNSSEC-avaimet uusiutuvat aina issekseen silloin tällöin kuin SSL-sertifikaatit certbotilla ikään?

Tuo on minulle nimenomaan hieman epäselvä kohta koko DNSSEC-hässäkässä, luulin että ainakin .fi domaineilla siihen liittyy aina jotain manuaalista työtä Traficomin palvelussa. Eli paras ymmärrykseni tällä hetkellä on, jos haluan jonkun fi-domainin ZSK ja KSK avaimet uusia kun vanhat ovat menossa vanhoiksi:

1. Luon nimipalvelimille uudet ZSK ja KSK avaimet ja asetan ne aktiivisiksi nimipalvelimilla, vanhojen avaimien rinnalle.

2. Menen Traficomin domain-palveluun (login.domain.fi) ja käsken siellä domainin hakea nimipalvelusta löytyvät DNSSEC-avaimet, josta se löytää kaksi KSK-avainta (vanha ja uusi). Otan molemmat käyttöön Traficomin palvelussa.

Käsitykseni on että vasta tämän stepin jälkeen uudetkin avaimet tai RRSIG tai mitä lie lähtevät maailmalle jakoon, ja sitten pitää odottaa kauan aikaa ennen seuraavia toimenpiteitä.

Tähän väliin myös toteamus että tämän tehtyäni jos ajan Traficomin palvelussa nimipalvelimien teknisen tarkistuksen, se feilaa ja Traficom väittää ettei löydy sopivaa DS-avainta RRSIG varmentamiseksi, tai jotain muuta epäselvää sontaa. Pitänee kysyä tuosta Traficomin tuesta mitä hittoa se merkkaa ja tarvitseeko siitä välittää koska domainit kyllä edelleen löytyvät nimipalveluista eivätkä netin DNSSEC-tarkistajat myöskään ota hernettä nenään vaan jonkin ajan kuluttua listaavat hekin löytävänsä molemmat avaimet, ja kaikki on vihreää. Vain Traficomin palvelu väittää että DNSSEC on nyt rikki ja poikki ko. domainille. Tuo on välillä aiheuttanut turhaa panikointia kun on luullut että nyt domain katosi maailman nimipalveluista seuraavan n tunnin tai vuorokauden ajaksi, ei meinaa tulla yöuni sen jälkeen.

3. Odotan vuorokauden jotta kaikki tarvittavat avaimet ja allekirjoitukset ja mitä lie leviävät maailmalle, myös eräälle superhitaalle suomalaiselle operaattorille jolla tuntuu olevan jotain erityisongelmia asian suhteen verrattuna muihin operaattoreihin tai edes ulkomaalaisiin nimipalveluihin.

4. Käyn nimipalvelussa asettamassa vanhat KSK ja ZSK avaimet pois käytöstä. Periaatteessa ne voisi jo poistaa mutta parempi varmaan kaiken varalta jättää, jos meneekin rikki ja pitää laittaa ne taas aktiivisiksi.

5. Menen jälleen Traficomin palveluun ja pyydän sitä uudestaan hakemaan nimipalvelusta löytyvät avaimet. Tällä kertaa se löytää vain uudemman KSK:n, joten vain se otetaan käyttöön. Tämän jälkeen myös Traficomin nimipalvelimien tekninen tarkistus on tyytyväinen ja sen mielestä DNSSEC taas toimii, tulee vihreä lukko.

6. Joskus myöhemmin pölyn laskeudettua voinee käytä poistamassa nimipalvelustakin disabloidut vanhat avaimet, tai jättää ne sinne, sama se kai kunhan ei joskus yritä ottaa niitä vahingossa taas käyttöön kun ovat jo hapanneet.


Jos sinua oikein ymmärsin, sinulla ei ole mitään tarpeita käydä missään Traficomin tai muidenkaan palveluissa, vaan kaikki ylläoleva hoituu automaattisesti? Vai käynkö minä turhaan Traficomin palvelussa, eikö siellä tarvitse oikeasti tehdä mitään? Minun mielestäni uudet avaimet ja allekirjoitukset eivät lähde maailmalle ennenkuin aktivoin uudet avaimet Traficomissakin.

Pari vuotta sitten kyselin Traficomin tuesta ohjeita tuon prosessin automatisoinnille heidän päässään, jotain taisivat mainita jostain API:sta ja että minun/meidän pitäisi itse ohjelmoida sille joku softa joka hoitaa homman heidän API:nsa kautta. Ehkä. Vaikuttivat kovin epävarmoilta. Riippuen uusittavien domainien määrästä joskus harvoin, automatisointiin satsaaminen itse voi vaikuttaa turhalta työltä.


Tähän myös liittyy aiempi kysymykseni että koska uusia avaimia luodessa ainakin minun systeemissäni voi vapaasti määritellä niille voimassaoloajan, voiko siis periaatteessa laittaa uusien avainten kestoksi seuraavat 2 tai 10 vuotta? Palataan vaihtohässäkkään sitten? Voisin ehkä asentaa niille sen päivämäärän kun toivottavasti pääsen eläkkeelle joskus kaukana tulevaisuudessa, homma selvä siltä osin?

Jos on kovin tietoturvatonta asettaa niille hirmuisen pitkiä voimassaoloaikoja, mikä sitten on sopiva, jos ei kuitenkaan joka kuukausi halua käydä samaa rumbaa läpi?

 

[timppeli]

EC-pohjaisissa kryptojutuissa on ainakin yleisenä etuna RSA-pohjaisiin verrattuna se, että avaimet ja allekirjoitukset ovat kooltaan pienempiä, joten on todennäköisempää, että ne mahtuvat yhteen UDP-pakettiin (jolloin resolvoiminen on nopeampaa kuin silloin jos resolveri joutuu vaihtamaan TCP-yhteyteen).

Tuosta kuulin itsekin, ongelmana toki että käyttämäni nimipalvelu ei sellaisia tarjoa vaihtoehtoina, vaan
RSA/SHA-1 (NSEC3 kanssa tai ilman)
RSA/SHA256
RSA/SHA512

Tuo kolmas algoritmi on se mitä se tarjoaa oletuksena, joten sillä on menty toistaiseksi.

Onko pitkän allekirjoituksen ja/tai avaimen ongelmana siis vain DNS-kyselyviiveen kasvaminen joissain tapauksissa, vai voiko se jopa rikkoa DNSSEC toimivuuden (kuten eräs operaattori antoi ymmärtää RSA/SHA512 käytöstä, koska kuulemma sitä ei ole otettu laajasti käyttöön DNSSEC:ssä)?

 

[oongee]

Eikö sinun siis tarvitse tehdä yhtikäs mitään, DNSSEC-avaimet uusiutuvat aina issekseen silloin tällöin kuin SSL-sertifikaatit certbotilla ikään?

Tuo on minulle nimenomaan hieman epäselvä kohta koko DNSSEC-hässäkässä, luulin että ainakin .fi domaineilla siihen liittyy aina jotain manuaalista työtä Traficomin palvelussa. Eli paras ymmärrykseni tällä hetkellä on, jos haluan jonkun fi-domainin ZSK ja KSK avaimet uusia kun vanhat ovat menossa vanhoiksi:

1. Luon nimipalvelimille uudet ZSK ja KSK avaimet ja asetan ne aktiivisiksi nimipalvelimilla, vanhojen avaimien rinnalle.

2. Menen Traficomin domain-palveluun (login.domain.fi) ja käsken siellä domainin hakea nimipalvelusta löytyvät DNSSEC-avaimet, josta se löytää kaksi KSK-avainta (vanha ja uusi). Otan molemmat käyttöön Traficomin palvelussa.

Käsitykseni on että vasta tämän stepin jälkeen uudetkin avaimet tai RRSIG tai mitä lie lähtevät maailmalle jakoon, ja sitten pitää odottaa kauan aikaa ennen seuraavia toimenpiteitä.

Tähän väliin myös toteamus että tämän tehtyäni jos ajan Traficomin palvelussa nimipalvelimien teknisen tarkistuksen, se feilaa ja Traficom väittää ettei löydy sopivaa DS-avainta RRSIG varmentamiseksi, tai jotain muuta epäselvää sontaa. Pitänee kysyä tuosta Traficomin tuesta mitä hittoa se merkkaa ja tarvitseeko siitä välittää koska domainit kyllä edelleen löytyvät nimipalveluista eivätkä netin DNSSEC-tarkistajat myöskään ota hernettä nenään vaan jonkin ajan kuluttua listaavat hekin löytävänsä molemmat avaimet, ja kaikki on vihreää. Vain Traficomin palvelu väittää että DNSSEC on nyt rikki ja poikki ko. domainille.

3. Odotan vuorokauden jotta kaikki tarvittavat avaimet ja allekirjoitukset ja mitä lie leviävät maailmalle, myös superhitaalle DNA-operaattorille jolla tuntuu olevan jotain erityisongelmia asian suhteen verrattuna muihin operaattoreihin tai edes ulkomaalaisiin nimipalveluihin.

4. Käyn nimipalvelussa asettamassa vanhat KSK ja ZSK avaimet pois käytöstä. Periaatteessa ne voisi jo poistaa mutta parempi varmaan kaiken varalta jättää, jos meneekin rikki ja pitää laittaa ne taas aktiivisiksi.

5. Menen jälleen Traficomin palveluun ja pyydän sitä uudestaan hakemaan nimipalvelusta löytyvät avaimet. Tällä kertaa se löytää vain uudemman KSK:n, joten vain se otetaan käyttöön. Tämän jälkeen myös Traficomin nimipalvelimien tekninen tarkistus on tyytyväinen ja sen mielestä DNSSEC taas toimii, tulee vihreä lukko.

6. Joskus myöhemmin pölyn laskeudettua voinee käytä poistamassa nimipalvelustakin disabloidut vanhat avaimet, tai jättää ne sinne, sama se kai kunhan ei joskus yritä ottaa niitä vahingossa taas käyttöön kun ovat jo hapanneet.


Jos sinua oikein ymmärsin, sinulla ei ole mitään tarpeita käydä missään Traficomin tai muidenkaan palveluissa, vaan kaikki ylläoleva hoituu automaattisesti? Vai käynkö minä turhaan Traficomin palvelussa, eikö siellä tarvitse oikeasti tehdä mitään? Minun mielestäni uudet avaimet ja allekirjoitukset eivät lähde maailmalle ennenkuin aktivoin uudet avaimet sielläkin.

Pari vuotta sitten kyselin Traficomin tuesta ohjeita tuon prosessin automatisoinnille heidän päässään, jotain taisivat mainita jostain API:sta ja että minun/meidän pitäisi itse ohjelmoida sille joku softa joka hoitaa homman heidän API:nsa kautta. Ehkä. Vaikuttivat kovin epävarmoilta. Riippuen uusittavien domainien määrästä joskus harvoin, automatisointiin satsaaminen itse voi vaikuttaa turhalta työltä.


Tähän myös liittyy aiempi kysymykseni että koska uusia avaimia luodessa ainakin minun systeemissäni voi vapaasti määritellä niille voimassaoloajan, voiko siis periaatteessa laittaa uusien avainten kestoksi seuraavat 2 tai 10 vuotta? Palataan vaihtohässäkkään sitten? Voisin ehkä asentaa niille sen päivämäärän kun toivottavasti pääsen eläkkeelle joskus kaukana tulevaisuudessa, homma selvä siltä osin?

Jos on kovin tietoturvatonta asettaa niille hirmuisen pitkiä voimassaoloaikoja, mikä sitten on sopiva, jos ei kuitenkaan joka kuukausi halua käydä samaa rumbaa läpi?

En ole tehnyt mitään muutoksia Traficomin suuntaan sen jälkeen kun laitoin sinne DS-tietueen kerran kuntoon joskus taannoin. Kuten totesin, kaikki toimii automaattisesti. Oletan, että BIND:in tekijöiden valitsemat defaultit eivät ole hirvittävän tietoturvattomat. Asiaan liittyy varmaan tuossa BIND:in "default" dnssec-policyssä oleva "lifetime unlimited" (ks. edellisessä viestissä linkkaamani dokumentaatio).

Muistan miettineeni noista ZSK-, KSK-, jne. asioita silloin joskus taannoin kun tein DNSSEC:in vanhalla hankalalla tavalla, mutta olen pyyhkinyt ne asiat mielestäni ja kaikki asiaan liittyvä vastenmielisyys ja stressi on poistunut tuon uudemman tavan käyttöönoton myötä. En muista tuohon vanhaan tapaan liittyviä detaljeja lainkaan, joten en siksi osaa antaa kysymyksiisi spesifisiä vastauksia.

 

[timppeli]

En ole tehnyt mitään muutoksia Traficomin suuntaan sen jälkeen kun laitoin sinne DS-tietueen kerran kuntoon joskus taannoin. Kuten totesin, kaikki toimii automaattisesti. Oletan, että BIND:in tekijöiden valitsemat defaultit eivät ole hirvittävän tietoturvattomat. Asiaan liittyy varmaan tuossa BIND:in "default" dnssec-policyssä oleva "lifetime unlimited" (ks. edellisessä viestissä linkkaamani dokumentaatio).

Muistan miettineeni noista ZSK-, KSK-, jne. asioita silloin joskus taannoin kun tein DNSSEC:in vanhalla hankalalla tavalla, mutta olen pyyhkinyt ne asiat mielestäni ja kaikki asiaan liittyvä vastenmielisyys ja stressi on poistunut tuon uudemman tavan käyttöönoton myötä. En muista tuohon vanhaan tapaan liittyviä detaljeja lainkaan, joten en siksi osaa antaa kysymyksiisi spesifisiä vastauksia.

Ok, niin se kai menee jos automaatio on mahdollisuus, pitää katsoa onko tuossa siihen mitään työkaluja. Toki, jos mulla nyt on tämä rumba seuravaan kerran edessä vasta n vuoden kuluttua minkä olen asettanut uusien avainten voimassaoloajaksi, hieman himmentää halua alkaa tutkia asiaa sen tarkemmin kun olisi oikeitakin töitä...

Sama tuo vähän on kuin SSL sertifikaattien kanssa: pahimmillaan se on hirmuista corporate-tasoisten superturvasertifikaattien varmistelua ulkomailta tulevien varmistuspuhelinsoittojen kera ja niiden hankalaa asentelua ties minne apache2-konfiguraatioihin, rautapalomuureihin ja -kuormantasaajiin käsin, helpoimmillaan taas sitä että lataa netistä jonkun dockerina tulevan nettipalvelun palvelimelleen jolle kertoo vain haluamansa (ali)domainin nimen ja hups se hoitaakin sertifikaatitkin ihan tuosta vaan automaagisesti niitä uusien 3kk välein Let's Encrypt-sertifikaatteja käyttäen.

 

[timppeli]

En ole tehnyt mitään muutoksia Traficomin suuntaan sen jälkeen kun laitoin sinne DS-tietueen kerran kuntoon joskus taannoin. Kuten totesin, kaikki toimii automaattisesti. Oletan, että BIND:in tekijöiden valitsemat defaultit eivät ole hirvittävän tietoturvattomat. Asiaan liittyy varmaan tuossa BIND:in "default" dnssec-policyssä oleva "lifetime unlimited" (ks. edellisessä viestissä linkkaamani dokumentaatio).

Muistan miettineeni noista ZSK-, KSK-, jne. asioita silloin joskus taannoin kun tein DNSSEC:in vanhalla hankalalla tavalla, mutta olen pyyhkinyt ne asiat mielestäni ja kaikki asiaan liittyvä vastenmielisyys ja stressi on poistunut tuon uudemman tavan käyttöönoton myötä. En muista tuohon vanhaan tapaan liittyviä detaljeja lainkaan, joten en siksi osaa antaa kysymyksiisi spesifisiä vastauksia.

Niin kiitos vielä erikseen siitä tiedosta että selvästikin on jo nyt työkaluja jotka osaavat keskustella suoraan Traficomin kanssa ja saavat homman hoitumaan silläkin puolella. Luo hieman tulevaisuudenuskoa että ehkä tästä hankalasta manuaalisesta työstä on mahdollisuus päästä eroon.

Aiemmin tosiaan mieli meni matalaksi kun Traficomin tuesta sain kuvan että pitäisi itse alkaa ohjelmoida sopivaa automatisointityökalua. Just... Tosin se oli ehkä kaksi vuotta sitten, paljon on vettä ja rahaa virrannut Vantaanjoessa sen jälkeen.

 

[xtaateli]

Tänne ei näytä kukaan olevan tästä vielä postannut mitään niin laitetaanpa linkkiä:

Lausuntopalvelu.fi

Lausuntopalvelu - Lausuntopyyntö liikenne- ja viestintäministeriön asetusluonnoksesta Liikenne- ja viestintäviraston sähköiseen viestintään liittyvistä suoritteista perittävistä muista maksuista

www.lausuntopalvelu.fi

Suunnitelmissa olisi siis, että jatkossa (heti ensi vuodesta alkaen) jokaisen välittäjän tulisi maksaa vuosittainen 400 euron kiinteä maksu Traficomille riippumatta välitystoiminnan laajuudesta, siitä onko välittäjä luonnollinen henkilö vai ei, välittääkö domaineja vain itselleen, jne. Jos menee läpi tällaisenaan, niin tähän varmaankin päättyy aika monen osalta itse itselleen .fi domainien välittäjänä toimiminen. (myös minun)

Mikäs olisi välittäjä minkä kautta saa mahdollisimman halvalla ostettua viideksi vuodeksi (tai vaikka pidemmäksikin ajaksi) kerrallaan PELKÄN DOMAININ mahdolliisimman vähällä säätämisellä ja asiakkaan kusetuksella? Minua eivät todellakaan kiinnosta mitkään webhotellit, sähköpostit, DNS-palvelimet, ym. joita näihin myydään aina väkisin mukaan. Osaan hoitaa itsekin.

Multim Oy Shellit.orgilta tai Web1 Oy:ltä en mielelläni osta mitään, syy selviää käymällä jätetyt lausunnot tuolta lausuntopalvelusta lävitse.

edit: Tämä voisi varmaan olla ihan vaihtoehto ellei parempaakaan keksi, 70,83€ / 5 vuotta eli n. 14,17€ / vuosi eivätkä tuputa mitään turhia lisäpalveluita väkisin mukaan. Toki näissä ei välttämättä vielä ole ensi vuodelle valtion puolelta suunniteltuja hinnankorotuksia mukana.

Itselläni kaikki nykyiset kolme .fi-domainia ovat 2027 alkuvuoteen saakka suoraan Traficomin kautta viimeksi uusittuja, mitenkähän lienee noiden välittäjien maksujen kanssa jos tilanne on se että domainia täytyy alkaa kesken kauden siirtämään itseltä jollekin toiselle välittäjälle... Joudunko maksamaan ensi vuodesta mistä olen jo kauan sitten maksanut Traficomille nyt toiseen kertaan jollekin domain-välittäjälle täysimääräisenä välttääkseni ensi vuonna tuon 400 euron maksun Traficomille?

 

[Laturi6v]

Suunnitelmissa olisi siis, että jatkossa (heti ensi vuodesta alkaen) jokaisen välittäjän tulisi maksaa vuosittainen 400 euron kiinteä maksu Traficomille riippumatta välitystoiminnan laajuudesta, siitä onko välittäjä luonnollinen henkilö vai ei, välittääkö domaineja vain itselleen, jne. Jos menee läpi tällaisenaan, niin tähän varmaankin päättyy aika monen osalta itse itselleen .fi domainien välittäjänä toimiminen. (myös minun)

Tuo on aika syvältä, kun perusteluissakin todetaan suurimman osan välittäjistä olevan pieniä ja niiden neuvontaan menee aikaa. Mitään faktoja perusteluille ei esitetä ja oma käsitykseni näiden muutamien "omien" domainien välittäjien osalta on nolla neuvontaa. Tässä on vaan löydetty yksi sopiva kupattava asiakas ja maksulla saadaan pöytä puhtaaksi "neovontaa kaipaavista asiakkaista". Mihin sitä maksua sen jälkeen tarvitaan?

 

[Hyvin kypsytelty]

Samaa on tullut maanantaista asti ihmeteltyä, on kyllä täysin käsittämätön ehdotus ja vielä "todella maltillisella" ~kahden kuukauden varoajalla. Itse siis välitän myöskin yksityishenkilönä vain itselleni verkkotunnuksia, olisikohan niitä kolme tällä hetkellä rekisteröitynä. Kuten ylläkin oli mainittu, minäkään en tarvitse webhotellia, DNS-palvelimia tai muuta vastaavaa turhanpäiväistä sen verkkotunnuksen lisäksi, joita nuo isommat välittäjät puoliväkisin sen tunnuksen kylkeen myyvät. Haluan myös päästä kaikkiin mahdollisiin verkkotunnuksen asetuksiin käsiksi, jonka vuoksi ainoa (ja kustannustehokkain) tapa on ollut ryhtyä verkkotunnusvälittäjäksi itselleni.

Perusteluinahan tuolla näkyy olevan muunmuassa:

Verkkotunnusvälittäjien aiheuttamat kustannukset verkkotunnustoiminnolle ovat merkittävässä kasvussa ja kustannusten kattaminen aiheuttamisperiaatteen mukaan erillisellä maksulla olisi perusteltua.

Fi-verkkotunnusjärjestelmän kuormitus on kasvanut merkittävästi vuoden 2016 jälkeen osan verkkotunnusvälittäjistä alkaessa rekisteröidä sellaisia verkkotunnuksia, joiden voimassaoloaika päättyy. Tällaisilla verkkotunnuksilla on nk. dropcatcher-välittäjille muita verkkotunnuksia suurempi liikearvo, ja vapautuvista tunnuksista käydään kovaa kilpailua dropcatcher-välittäjien kesken, mikä kuormittaa verkkotunnusjärjestelmää merkittävästi nostaen järjestelmän kapasiteettivaatimusta sekä lisäten järjestelmää suojaavien toimenpiteiden tarvetta. Dropcatcher-välittäjien liiketoimintamalli on lisäksi aiheuttanut merkittävän määrän verkkotunnuksiin kohdistuvia poistovaatimuksia Liikenne- ja viestintävirastolle tapauksissa, joissa verkkotunnus vastaa tai muistuttaa toisen suojattua nimeä tai merkkiä.

Verkkotunnusten käyttäminen erilaisiin huijauksiin on lisääntynyt merkittävästi viime vuosina. Huijauksille tyypillistä on, että niissä käytetyn verkkotunnuksen rekisteröinnin yhteydessä on annettu väärät tiedot verkkotunnuksen käyttäjästä.

Vuosittainen verkkotunnusvälittäjämaksu nostaa kynnystä toimia verkkotunnusvälittäjänä erityisesti niiden toimijoiden osalta, joiden välitystoiminta on vähäistä tai olematonta. Näillä toimijoilla on kuitenkin mahdollisuus jatkaa liiketoimintaansa siirtymällä suuremman verkkotunnusvälittäjän jälleenmyyjäksi. Palveluntarjonnan keskittyminen suuremmille, ammattimaisille verkkotunnusvälittäjille voi parantaa asiakaspalvelun laatua ja teknistä toimintavarmuutta, mikä kasvattaa verkkotunnuspalveluiden yleistä turvallisuutta ja luotettavuutta. Verkkotunnusvälittäjämaksu kannustaa ainoastaan toimintakykyisiä ja velvoitteensa täyttäviä toimijoita rekisteröitymään verkkotunnusvälittäjiksi, mikä voi pitkällä aikavälillä vahvistaa luottamusta fi-verkkotunnusjärjestelmään. Samalla verkkotunnusvälittäjien aiheuttama työmäärä Liikenne- ja viestintävirastolle pienenee. Verkkotunnusvälittäjien määrän vähentyminen voi ilmetä verkkotunnusten käyttäjille välityspalvelujen keskittymisellä ja kilpailun vähenemisellä, mutta välittäjämäärän ennakoidaan säilyvän vähintään noin tuhannessa toimijassa Suomessa.

Maksu veloitettaisiin verkkotunnusvälittäjiltä ensimmäistä kertaa aikavälillä 1.6. - 31.12.2026 jotta Liikenne- ja viestintävirasto ehtisi tiedottaa uudesta maksusta verkkotunnusvälittäjiä ja heillä olisi tarpeeksi aikaa varautua uuteen maksuun. Viestintävirasto saisi kuitenkin periä maksun alennettuna tai jättää se kokonaan perimättä esimerkiksi tilanteessa, jossa ennakkomaksusaldotilillä ei ole riittävästi varoja. Mikäli ennakkomaksusaldotilillä on jatkossa alle kaksitoista euroa, ei verkkotunnusvälittäjä voi rekisteröidä fi-verkkotunnuksia, jolloin verkkotunnusvälitystoiminta tosiasiallisesti estyy. Verkkotunnusmaksu voitaisiin periä myöhemmin, kun ennakkomaksutilillä on riittävästi varoja, ellei Liikenne- ja viestintävirasto päätä olla perimättä maksua.

Jos näitä lähtee käymään yksitellen läpi, niin oman useamman vuoden asiakkuuteni aikana en ole varmastikaan aiheuttanut manuaalista työtä yhdellekkään viraston työntekijälle, joten en ymmärrä mitkä kustannukset esimerkiksi omalta osaltani ovat nousussa? Palvelun pyörittämiseen vaadittavan IT-infran kustannuksetkin lähinnä vain laskevat ajan myötä. Jos näin todella on että kustannukset kasvavat, niin eikö tällaisia maksuja pitäisi kohdistaa suoraan niihin tahoihin jotka näitä kustannuksia aiheuttavat, eikä laittaa kaikkia maksajiksi?

Jos dropcatcher-käyttäjät aiheuttavat palvelulle kuormitusta (varmaankin EPP-rajapinnan kautta), niin eikö tässäkin tapauksessa maksun voisi kohdistaa juuri tuon rajapinnan käyttäjiin? Uskallan väittää että yksikään yksityishenkilö tuota ei käytä, eikä todennäköisesti muutamia verkkotunnuksia välittävät pienyrityksetkään. Edellämainitut hoitanevat verkkotunnuksien rekisteröinnin ja hallinnan Traficomin web-käyttöliittymän kautta. Lisäksi esimerkiksi sellainen dropcatcher-paskafirma kuin Computernik OÜ löytyy Traficomin suurimpien verkkotunnusvälittäjien listan sijalta 23 yhteensä 4427 .fi-verkkotunnuksella. Tuollaisessa laajuudessa yksi 400 euroa vuoteen lisää on lähinnä pyöristysvirhe ja homma jatkuu täysin ennallaan.

Uskallan väittää, että pienyritykset tai domaineja itse itselleen välittävät ovat huomattavasti tarkempia rekisteröitävien domainien käyttäjätiedoista. Pienyrityksiltä saa paljon henkilökohtaisempaa palvelua kuin isoimmilta toimijoilta. Lisäksi isommat toimijat ovat suurella todennäköisyydellä automatisoineet koko rekisteröintiputken, jolloin siellä välissä ei kukaan ole niitä rekisteröintiin käytettyjä tietoja varmistamassa oikeaksi.

Seuraavassa kohdassahan se sitten oikeastaan kerrotaankin, että tahtona on vain päästä yksityishenkilöistä ja pienyrityksistä kokonaan eroon. Kuten jo aiemmassa kappaleessa kirjoitin, pienyrityksiltä saa mielestäni paljon henkilökohtaisempaa palvelua. En siis ymmärrä miten esimerkiksi asiakaspalvelun laatu voi parantua siirryttäessä vaikkapa muutamaa kymmentä verkkotunnusta välittävältä taholta isommalle useampaa tuhatta verkkotunnusta välittävälle taholle.

Viimeinen kohtakin on aivan uskomaton, eli maksu voidaan periä alennettuna tai jättää se kokonaan perimättä täysin mielivaltaisesti. Mitään varsinaista syytä tai perustelua sille miksi sitä esimerkiksi alennettuna perittäisiin ei anneta.

-

TL: DR; Jos tämä paska menee tällaisenaan läpi, täytyy varmaan tyhjentää ennakkomaksutili ja uusia kaikki domainit tappiinsa (5v?) ennen vuodenvaihdetta. Tuskinpa niitä jälkeenpäin peruutellaan jos niistä on jo maksettu, ja tuota välittäjämaksua on paha tyhjältä tililtä veloittaa. Sen jälkeen voikin sitten siirtyä johonkin toiseen domainpäätteeseen.

 

[Paapaa]

Kyllä mä ymmärrän tuon päätöksen. Sen tarkoitus on se, että useampi fi-domain olisi luotettavan ja jossain määrin ammattimaisen verkkotunnusvälittäjän takana. Kuten tämän ketjun lukijat tietävät, on moni ryhtynyt "välittäjäksi" vain jotta säästää muutaman euron ja hoitaa asiat niin että ei pätkääkään välitä niistä välittäjän velvollisuuksista joita Traficom välittäjille on asettanut. Veikkaan että suurin osa ei ole edes lukenut velvollisuuksista saati tehnyt mitään niiden eteen.

Mä kirjoitin nämä viestit pari vuotta sitten kun tämä aihe oli pinnalla. Jo silloin Traficom kertoi, että näistä yksityishenkilövälittäjistä on tarkoitus päästä eroon.

Traficom vastasikin nopeasti. Tiivistetysti:

• Yksityishenkilöllä on ihan kaikki samat velvollisuudet kuin kaupallisella toimijalla (esim. kaikki dokumentointi ja ilmoitusvelvollisuudet)
• Ensi vuoden aikana viedään lainsäädäntöön NIS2 direktiivin tuomat muutokset ja siinä tulee uusia vaatimuksia sekä verkkotunnusrekisterille (Traficom) että verkkotunnusvälittäjille.
• Uusia vaatimuksia ei ole vielä lopullisesti lyöty lukkoon.
• Traficomin mukaan vaikuttaa todennäköiseltä että samalla joudutaan kiristämään vaatimuksia siitä että ketkä saavat toimia verkkotunnusvälittäjinä, siirrytään kohti selvästi ammattimaisempia verkkotunnusvälittäjiä. (Kysyin tästä vielä lisäkysymyksen, että katoaako oikeudet toimia välittäjänä vai koskeeko vaatimukset vain uusia välittäjiä).

Tuon perustella harkitsisin kyllä vahvasti, kannattaako se 2 e/domain/v säästö (EDIT: ainakin löysin n. 11e/v hintaan) vs. antaa kaupallisen välittäjän hoitaa se välitystoiminta ja kantaa kaikki siihen liittyvät vastuut ja velvollisuudet. 2 e/v on siis alle 0,20 euroa kuukaudessa.

Traficomin mukaan lain vaatima valvonta voi toimia ainoastaan jos yksityishenkilöt eivät saa lainkaan toimia välittäjinä. Eli Traficomin tahtotila on se, että jatkossa uusia yksityishenkilöitä ei oteta mukaan ja vanhat menettävät oikeutensa siirtymäajan puitteissa. Yksityiskohtia tästä ei ole vielä päätetty tai aikatauluja. Aikaa kuitenkin annetaan verkotunnusten siirtoon jos tuohon päädytään. Ei tule äkkilähtöä.

Ymmärrän sen että kyllä tämä kuluja monella nostaa ja se harmittaa, mutta ymmärrän myös sen, että Traficom haluaa jotenkin tuon välitystoiminnan laadun paremmaksi ja karsia harrastajat ja "valevälittäjät" sieltä pois. Oliko niin etteivät kuitenkaan vaadi vielä/jatkossa Y-tunnusta?

 

[Obi-Lan]

Oliko niin etteivät kuitenkaan vaadi vielä/jatkossa Y-tunnusta?

Toi sulkisi pois kaikki ulkomaiset välittäjät?

Eiköhän siellä ole säästötavotteita, potkitaan pienet hiekan levittäjät pihalle, jotta voidaan vähentää tai uudelleensijoittaa henkilökuntaa tjsp kun Traficomin tarvitsee jatkossa asioida muutaman ison asiakkaan kanssa, jotka luultavasti tekee hommaa täyspäiväisesti.

 

[xtaateli]

Kyllä mä ymmärrän tuon päätöksen. Sen tarkoitus on se, että useampi fi-domain olisi luotettavan ja jossain määrin ammattimaisen verkkotunnusvälittäjän takana. Kuten tämän ketjun lukijat tietävät, on moni ryhtynyt "välittäjäksi" vain jotta säästää muutaman euron ja hoitaa asiat niin että ei pätkääkään välitä niistä välittäjän velvollisuuksista joita Traficom välittäjille on asettanut. Veikkaan että suurin osa ei ole edes lukenut velvollisuuksista saati tehnyt mitään niiden eteen.

Mä kirjoitin nämä viestit pari vuotta sitten kun tämä aihe oli pinnalla. Jo silloin Traficom kertoi, että näistä yksityishenkilövälittäjistä on tarkoitus päästä eroon.

Silloin kun tämä välittäjäsysteemi alunperin tuli vuonna 2016 niin muistelisin, että domainin hankkimisesta jonkin välittäjän
kautta (vs. että ryhtyy itse välittäjäksi itselleen) olisi tullut hieman enemmän lisäkustannuksia kuin vain "muutama euro". Nämä välittäjäfirmat kun tahtovat tuputtaa kaikenlaista itselleni turhaa lisäpalvelua domain-rekisteröintien mukaan. Sitten kun näiden firmojen sivustoja tutki lisää, vaikutti hyvinkin epäselvältä pääseekö domainin heidän kauttaan hankkiva edes suoraan itse säätämään esim. nimipalvelimien osoitteita jos ylipäänsä sallivat lainkaan muiden kuin omien nimipalvelimiensa käyttämisen.

Nythän esim. tuo aiemmin linkkaamani Webcat vaikuttaisi kuitenkin ihan asialliselta ja varmaankin tulee domainit siirrettyä sinne mikäli viranomainen ei tuosta 400 euron maksusta vielä pakita tai esim. jokin yhdistysmuotoinen toimija ilmesty paikalle vielä edullisemmin hinnoin hoitamaan yksityisten ihmisten itselleen epäkaupalliseen käyttöön rekisteröimiä domaineja.

Toki mieluiten hankkiutuisin .fi-domaineistani kokonaan eroon kun viranomainen kerran haluaa mahdollisimman hankalaksi ja kalliiksi asiat tehdä, mutta kun niihin tulee aika paljon sähköposteja. Kuitenkin olleet jo monta, monta vuotta käytössäni. Mistäs vuodesta alkaen noita (vapaavalintaisia, muita kuin sukunimi tms.) .fi-domaineja nyt ylipäänsä onkaan pystynyt rekisteröimään yksityisenä henkilönä...

Itse en ole menneen yli vuosikymmenen aikana kertaakaan tarvinut tai pyytänyt missään asiassa Traficomilta (tai edeltäjältään Ficoralta) mitään henkilökohtaista apua.

 

[Paapaa]

Nämä välittäjäfirmat kun tahtovat tuputtaa kaikenlaista itselleni turhaa lisäpalvelua domain-rekisteröintien mukaan. Sitten kun näiden firmojen sivustoja tutki lisää, vaikutti hyvinkin epäselvältä pääseekö domainin heidän kauttaan hankkiva edes suoraan itse säätämään esim. nimipalvelimien osoitteita jos ylipäänsä sallivat lainkaan muiden kuin omien nimipalvelimiensa käyttämisen.

Tuossa arvioidaan, että muutoksen jälkeenkin välittäjiä olisi Suomessa ainakin 1000. Eli luulisi että löydät myös sellaisen, joka ei tuputa turhia palveluita ja saat säätää nimipalvelimet kuten haluat. Esim. käyttämäni Domainhotelli ei ole tuputtanut ja antaa käyttää haluamiani nimipalvelimia. Ja varmaan suuri osa muistakin. Sen verran matalasta maksusta kuitenkin kyse, että se ei romahduta kaupallisten tarjoajien määrää. Mutta varmuudella nähdään tietenkin vasta kun tämä astuu voimaan.

 

[BongisKhan]

Kyllä mä ymmärrän tuon päätöksen. Sen tarkoitus on se, että useampi fi-domain olisi luotettavan ja jossain määrin ammattimaisen verkkotunnusvälittäjän takana.

Miksi? Mitkä ovat olleet nykyisen järjestelmän keskeiset ongelmati? Homma on vaatinut vahvan tunnistautumisen ja monivaiheisen säädön, minkä ansiosta suomalaisista domaineista tulevan haittapaskan määrä on täysin olematon ja väittäisin, että suurin osa itselleen palveluntarjoajista ei ole ikinä millään tavalla kuormittanut automaattijärjestelmien lisäksi yhtäkään Traficomin kampaviinerinmussuttajaa, eli pientoimijoiden todelliset kulut ovat jokseenkin olemattomat.

Kuten tämän ketjun lukijat tietävät, on moni ryhtynyt "välittäjäksi" vain jotta säästää muutaman euron ja hoitaa asiat niin että ei pätkääkään välitä niistä välittäjän velvollisuuksista joita Traficom välittäjille on asettanut. Veikkaan että suurin osa ei ole edes lukenut velvollisuuksista saati tehnyt mitään niiden eteen.

Olen lukenut. Käytännössä juuri mitään toimia ei tarvitse tehdä jos välität vain itsellesi vaikka sääntöjä lukisi kuin Piru raamattua.

Mä kirjoitin nämä viestit pari vuotta sitten kun tämä aihe oli pinnalla. Jo silloin Traficom kertoi, että näistä yksityishenkilövälittäjistä on tarkoitus päästä eroon

Ymmärrän sen että kyllä tämä kuluja monella nostaa ja se harmittaa, mutta ymmärrän myös sen, että Traficom haluaa jotenkin tuon välitystoiminnan laadun paremmaksi ja karsia harrastajat ja "valevälittäjät" sieltä pois. Oliko niin etteivät kuitenkaan vaadi vielä/jatkossa Y-tunnusta?

Edelleen, ovatko nämä sitten olleet jonkinlainen ongelma tähänkään asti? Mitä vitun väliä sillä "välitystoiminnan laadulla" on kun iso osa porukasta välittää tasan tarkalleen itselleen sitä domainia ja on ylipäätään lähtenyt tähän touhuun pakotettuna silloin kun tämä välittäjäpaska ajettin "kilpailun" nimissä läpi silloin 2016? Jotenkin saatanan groteskia, että meidän verovaroilla pyörivä julkinen toimija ajaa joka käänteessä kaupallisten toimijoiden etua tavallisten kansalaisten edun yli. Vielä koomisempaa on se, että aiempi uudistus runnottiin "kilpailun" nimissä läpi ja nyt sitten pienempien välittäjien kilpailumahdollisuuksia samaan aikaan heikennetään ja koko paska halutaan monopolisoida muutamalle isolle toimijalle.

 

[Hyvin kypsytelty]

Miksi? Mitkä ovat olleet nykyisen järjestelmän keskeiset ongelmati? Homma on vaatinut vahvan tunnistautumisen ja monivaiheisen säädön, minkä ansiosta suomalaisista domaineista tulevan haittapaskan määrä on täysin olematon ja väittäisin, että suurin osa itselleen palveluntarjoajista ei ole ikinä millään tavalla kuormittanut automaattijärjestelmien lisäksi yhtäkään Traficomin kampaviinerinmussuttajaa, eli pientoimijoiden todelliset kulut ovat jokseenkin olemattomat.



Olen lukenut. Käytännössä juuri mitään toimia ei tarvitse tehdä jos välität vain itsellesi vaikka sääntöjä lukisi kuin Piru raamattua.




Edelleen, ovatko nämä sitten olleet jonkinlainen ongelma tähänkään asti? Mitä vitun väliä sillä "välitystoiminnan laadulla" on kun iso osa porukasta välittää tasan tarkalleen itselleen sitä domainia ja on ylipäätään lähtenyt tähän touhuun pakotettuna silloin kun tämä välittäjäpaska ajettin "kilpailun" nimissä läpi silloin 2016? Jotenkin saatanan groteskia, että meidän verovaroilla pyörivä julkinen toimija ajaa joka käänteessä kaupallisten toimijoiden etua tavallisten kansalaisten edun yli. Vielä koomisempaa on se, että aiempi uudistus runnottiin "kilpailun" nimissä läpi ja nyt sitten pienempien välittäjien kilpailumahdollisuuksia samaan aikaan heikennetään ja koko paska halutaan monopolisoida muutamalle isolle toimijalle.

Vahvasti tämä. Nyt valitetaan jostakin dropcatching-toimijoiden aiheuttamasta kuormituksesta, vaikka tämä tehtiin ihan omasta tyhmyydestä mahdolliseksi noilla 2016 tehdyillä muutoksilla, kun .fi -pääte vapautui käytännössä koko maailmalle.