knuspermagier.de
Since 2005.

DNS außerhalb des Registrars

Wie viele Internet-Leute bin ich Domain-Messi. Also zumindest habe ich ziemlich viele. Immerhin sind sie nur auf zwei oder drei Registrare verteilt, trotzdem ist es ab und zu nervig, wenn man mal wieder einen DNS-Eintrag verändern will und nicht sofort weiß, wo man jetzt die Domain gekauft hat. Ganz abgesehen davon sind die Interfaces sowohl bei INWX, als auch bei Gandi ziemlich schrottig.

Wie wäre es also, die DNS-Server-Sachen komplett unabhängig vom Registrar, in einem wunderschönen Interface zu managen, am besten noch per API und alles? Ich dachte schon ab und zu mal über Amazon Route 53 oder so nach, aber die 50 Cent extra pro Domain, die das damals kostete schreckten mich immer ab. Vor allem, weil das ja mehr ist, als eine .de-Domain im Jahr überhaupt kostet.

dalle-2023-03-06-00.20.02-a-network-of-computers-on-the-internet-connected-by-a-series-of-tubes-in-the-background-is-a-rising-su.png
Das Internet, schematische Darstellung

Ich machte mal wieder eine kleine Mastodon-Umfrage und erlangte ein paar Einsichten.

Allgemein frage ich öfter mal was bei Mastodon und zumindest in diesem ganzen Programmier/Sysadmin-Space funktioniert das fast besser als jede Twitter-#followerpower damals. Ich mag das sehr! Da Mastodon aber ja so ein kleines Such-Problem hat, man also Sachen nicht so gut wiederfindet, habe ich nun vor, auch mal über die Ergebnisse zu schreiben. Damit wir alle was davon haben!

Zurück zum Thema. Folgende Dinge wurden mir von verschiedenen Personen empfohlen, die ich jetzt nicht nochmal gesondert verlinken werde, da man die genaue Zuordnung ja oben im Thread entnehmen kann. Danke an alle!

Bei Scaleway habe ich sonst nichts, Cloudflare ist mir nicht europäisch genug und einen eigenen DNS-Server hosten will ich auf keinen Fall. Bleiben also noch zwei Anbieter für eine tiefere Recherche: desec.io und die Hetzner DNS Console.

Ersteres sieht ganz nett aus und wird von einem Verein aus Berlin betrieben. Tatsächlich gibt es aber anscheinend noch kein Two-Factor Auth (immerhin auf der Roadmap). Wäre der zweite Kandidat jetzt nicht Hetzner gewesen, die ich ja eh schon für den ganzen Server-Kram benutze, hätte ich es mir vielleicht nochmal genauer angeschaut, aber so war meine Entscheidung relativ schnell gefallen.

Ich habe gerade die Zone für die erste meiner Domains angelegt und es hat geklappt! Also das anlegen. Ich bin begeistert. Gegebenenfalls werde ich mich vielleicht auch nochmal mit DNSControl beschäftigen, damit ich die ganze Sache vielleicht in ein Git-Repo schieben kann, falls ich doch nochmal von Hetzner wegwechseln will.

Update

Jan hat mir mitgeteilt, dass desec doch schon 2FA hat und Hetzner kein DNSEC unterstützt. Ich werd mich mal genauer damit beschäftigen, ob man letzteres wirklich braucht und meine Entscheidung gegebenenfalls nochmal überdenken! Hätte ich nur schon eine DNSControl-Datei angelegt!!