<br><div class="gmail_quote">On Thu, Jun 27, 2013 at 9:48 AM, SH Development <span dir="ltr"><<a href="mailto:listaccount@starionline.com" target="_blank">listaccount@starionline.com</a>></span> wrote:<br><div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> I have now moved all of my secondary to BuddyNS with much better redundancy...</blockquote><div> </div><div>They don't appear to support secure zone transfers with TKEY/TSIG or DNSSEC.  <a href="http://www.buddyns.com/faq/#dns-extensions">http://www.buddyns.com/faq/#dns-extensions</a> </div>
<div><br></div><div>I haven't found any free or low cost secondary DNS providers that support TSIG, although some support DNSSEC.</div><div><br></div><div>I have been trying to get up to date info on secure zone transfers and most of what I have seen on the web seems out of date or incorrect.  For example most TSIG examples suggest using HMAC-MD5.  The Wikipedia DNSSEC page, <a href="http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions">http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions</a> says <span style="font-size:13px;font-family:sans-serif;line-height:19.1875px;background-color:rgb(255,255,255)">"Other standards (not DNSSEC) are used to secure bulk data (such as a </span><a href="http://en.wikipedia.org/wiki/DNS_zone_transfer" title="DNS zone transfer" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;background-color:rgb(255,255,255);font-family:sans-serif;line-height:19.1875px">DNS zone transfer</a><span style="font-size:13px;font-family:sans-serif;line-height:19.1875px;background-color:rgb(255,255,255)">) sent between DNS servers." and points to the </span><a href="http://en.wikipedia.org/wiki/DNS_zone_transfer">http://en.wikipedia.org/wiki/DNS_zone_transfer</a> and it doesn't even mention TKEY, TSIG, or DNSSEC and hints at using some other backend database to secure transfers. </div>
<div><br></div><div>I'm not sure which crypto method would be best for securing zone transfers and I haven't tested DNSSEC yet, but I have started using TSIG 512 bit HMAC-SHA512.  Perhaps some of you can point us to current best practices?</div>
<div><br></div><div><br></div><div>Thanks,</div><div>Chuck</div><div><br></div><div><br></div><div><br></div></div>