Uproszczony problem
Chcę kupić domenę i stworzyć witrynę w pełni zabezpieczoną za pomocą DNSSEC .
Chcę się upewnić, że tylko jeden prawidłowy certyfikat SSL może zostać zweryfikowany przez przeglądarki, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone.
Gdzie mogę kupić domenę? Gdzie powinienem kupić certyfikat? (Czy powinienem używać certyfikatu z podpisem własnym z DNSSEC zamiast z urzędów certyfikacji?) Gdzie mogę hostować DNS? Którzy dostawcy sprawiają, że cały proces jest najwygodniejszy, najtańszy, najbardziej kompletny, najbardziej profesjonalny, najsolidniejszy i najbezpieczniejszy?
tło
Od lat słyszę o niepewności DNS . Obejrzałem wszystkie rozmowy Dana Kamińskiego i innych, od exploitów DNS po Przyszłość panelu bezpieczeństwa DNS . Wiedziałem, że korzystanie z DNS bez zabezpieczeń to katastrofa, która czeka. Śledziłem rozwój standardu DNSSEC. Świętowałem kluczową ceremonię podpisania .
W międzyczasie czytałem o Tysiącach certyfikatów SSL wydanych na niekwalifikowane nazwy i fałszywych certyfikatach SSL wydanych dla CIA, MI6, Mossad i wielu innych podobnych historii pokazujących problemy z bieżącą implementacją stron internetowych zabezpieczonych SSL, które mogłyby zostać rozwiązane przez DNSSEC (patrz: A Główne Internet Milestone: DNSSEC i SSL i DNSSEC naprawić bałagan SSL? i walidacji certyfikatów SSL i DNSSEC ). Wszystko było na dobrej drodze, aby wreszcie mieć bezpieczny system DNS.
A teraz ponad 2 lata później chciałem zrobić to, co wszyscy powiedzieli, że powinienem zrobić: użyć DNSSEC dla nowej domeny. Potrzebuję więc rejestratora domen i usługi hostingowej DNS, która obsługuje DNSSEC. Co zaskakujące, nie jest nawet tak łatwo dowiedzieć się, kto obsługuje DNSSEC i do jakiego stopnia. O wiele łatwiej było znaleźć informacje o DNSSEC dwa lata temu, kiedy wszyscy zamierzali wesprzeć DNSSEC już wkrótce, ale teraz minęły lata i prawie nie widzę żadnego postępu. Mam tylko nadzieję, że po prostu szukałem w niewłaściwych miejscach i ktoś tutaj uprzejmie wyjaśni wszystkie wątpliwości.
Mam nadzieję, że inne osoby, które chcą mieć bezpieczną stronę internetową, również uznają to pytanie za przydatne.
Co jest potrzebne
- rejestratory i serwery DNS z pełną obsługą DNSSEC dla
.comdomen - integracja DNSSEC z certyfikatami SSL
Co nie jest potrzebne
- Obsługa IPv6
- hosting
- coś jeszcze
Co do tej pory się dowiedziałem
- Go Daddy oferuje usługę Premium DNS za dodatkowe 36 USD rocznie, która pozwala „zabezpieczyć do 5 domen za pomocą DNSSEC”.
- easyDNS ma DNSSEC dostępny w wersji Beta na wszystkich poziomach usług (musisz włączyć flagę „beta” w konfiguracji), ale wydaje się, że nie jest gotowy do produkcji i sądząc z braku aktualizacji, nie jest to funkcja o najwyższym priorytecie ( Ostatnia zmiana od marca 2011 na easyDNS blog).
- Name.com - według The Register ( amerykański rejestrator domen obsługuje IPv6, DNSSEC ) obsługuje DNSSEC od 2010 roku, ale teraz (październik 2012) nie mogłem znaleźć niczego związanego z DNSSEC na ich stronie internetowej.
- Dynadot, który jest bardzo często zalecany , nie obsługuje DNSSEC
- Często polecany namecheap nie obsługuje DNSSEC. Odpowiedź wsparcia z 2011 r. Sugerowała, że została dodana, ale w 2012 r. Nadal nie otrzymano ETA od klientów .
- DynDNS miał obsługiwać DNSSEC, znalazłem link wyjaśniający obsługę DNSSEC, ale wyświetla stronę 404 Nie znaleziono i oferuje pole wyszukiwania - podczas wyszukiwania DNSSEC pojawia się komunikat „Nie znaleziono wyników dla twojego zapytania”.
- GKG było polecane online do obsługi DNSSEC, ale trudno jest znaleźć jakiekolwiek informacje na temat poziomu wsparcia DNSSEC - istnieje krótkie wyjaśnienie, czym jest DNSSEC i jak podpisywać rekordy osób podpisujących delegację w ich FAQ, ale żadna informacja o poziomie faktycznego wsparcia nie może być znalezionym.
- Zapytaj Slashdot: Którzy rejestratorzy obsługują DNSSEC? od lipca 2011 r. - Lista odpowiedzi Go Daddy, DynDNS, GKG, Name.com jako rejestratorzy obsługujący DNSSEC, ale: patrz wyżej .
- Rejestratorzy, którzy wspierają zarządzanie DNSSEC użytkowników końcowych, w tym wprowadzanie rekordów DS przez ICANN (dzięki Robowi za przypomnienie mi o tym ) - problemem z tą listą jest to, że poziom wsparcia jest nieznany, fakt, czy trzeba płacić za DNSSEC dodatkowo opłaty nie są wspomniane, nie mówiąc już o wygodzie zakupu, konfiguracji i hostingu domen w pełni zabezpieczonych DNSSEC i SSL.
- Lista rejestratorów .ORG, którzy zdali OT&E dla DNSSEC opublikowanych przez Rejestr Zainteresowania Publicznego - wielu rejestratorów, ale są oni wyszczególnieni do
.orgobsługi TLD i jak mówią: „Nie oznacza to, czy rejestrator włączył usługę DNSSEC dla rejestrujących . Skontaktuj się bezpośrednio z rejestratorami w sprawie usługi DNSSEC. ” - Jak zabezpieczyć i podpisać domenę za pomocą DNSSEC Korzystanie z rejestratorów domen przez społeczeństwo internetowe (podziękowania dla Nicka za wskazanie) obecnie wymienia tylko dwa, które obsługują
.comTLD na liście „Rejestratorów obsługujących DNSSEC do rejestracji i hostingu”, tj. Go Daddy (z dodatkową opłatą 36 USD rocznie) i Dyn (z dodatkową opłatą 330 USD rocznie) . Aby uzyskać szczegółowe informacje, zobacz Jak podpisać domenę za pomocą DNSSEC za pomocą Dyn, Inc i Jak podpisać domenę za pomocą DNSSEC za pomocą GoDaddy.com .
Powiązane pytania
- Jak znaleźć hosting spełniający moje wymagania?
- Co jest potrzebne, aby dodać DNSSEC do mojej witryny?
- Hosting DNS lepiej zarządzany przez dostawcę domeny lub dostawcę hostingu?
- Rejestrator z dobrym bezpieczeństwem, hostingiem DNS oraz DNSSEC i resolwery IPv6?
W nr 1 nikt nigdy nie wspomina o DNS. W nr 2 odpowiedzi tylko wspominają o .seTLD, jest bardzo mało odpowiedzi i wydają się bardzo nieaktualne. W nr 3 jedna odpowiedź brzmi: „W projektach wymagających wyższego poziomu bezpieczeństwa mogę szukać hosta obsługującego DNSSEC”, ale nie podano więcej informacji.
Jedyne istotne odpowiedzi są przeczące. 4, gdzie easyDNS jest polecany przez kogoś, kto nigdy nie korzystał z nich osobiście. Tymczasem od października 2012 r. Obsługa DNSSEC jest opisana jako „w wersji beta” na liście funkcji easyDNS . Inny zaleca SiteGround, ale przeszukanie ich witryny w poszukiwaniu DNSSEC nie zwraca żadnych wyników. Inne odpowiedzi zalecają dostawców hostingu, którzy nie spełniają wymogu obsługi DNSSEC. Również wyżej wspomniane pytanie wymienia 9 bardzo specyficznych wymagań innych niż tylko DNSSEC (jak np. Pliki cookie logowania tylko HTTP, uwierzytelnianie dwuskładnikowe, brak limitów rekordów DNS, statystyki DNS zapytań / dzień, ścieżki audytu itp.), Które mogły zostać wykluczone wiele możliwych rekomendacji, jeśli ktoś jest zainteresowany jedynie obsługą DNSSEC.
Wnioski
Czy to możliwe, że pionierem adopcji DNSSEC będzie Go Daddy, a wszystkie „eksperckie” usługi DNS nie są jeszcze gotowe?
Myślałem, że do końca 2012 r. Obsługa DNSSEC wśród rejestratorów domen i dostawców DNS będzie prawie powszechna. Jestem zszokowany, że wsparcie wydaje się praktycznie nie istnieć. Czy jest to wynikiem poważnych problemów z przyjęciem DNSSEC? A może po prostu nie jest to gorący temat i nikt się już nie przejmuje? Według tablicy wyników DNSSEC około 0,1% .comdomen obsługuje DNSSEC. Czy może to być spowodowane brakiem obsługi DNSSEC wśród rejestratorów i dostawców DNS, czy informacje są zbyt trudne do znalezienia, czy może nikogo to nie obchodzi? Nie ma tu nawet tagu „dnssec”.
streszczenie
Informacje są zaskakująco trudne do znalezienia. Dlatego proszę o doświadczenie z pierwszej ręki i osobiste rekomendacje.
Czy ktoś tutaj założył witrynę z DNSSEC, od rejestracji domeny, przez konfigurację serwerów DNS, aż po działającą stronę internetową, która jest w pełni zabezpieczona za pomocą DNSSEC?
Czy ktokolwiek z powodzeniem zintegrował DNSSEC z certyfikatami SSL, aby upewnić się, że przeglądarka może zweryfikować tylko jeden właściwy certyfikat, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone?
Czy ktoś może polecić któregokolwiek z wyżej wymienionych rejestratorów?
Czy ktoś może polecić rejestratora niewymienionego powyżej?
Jakieś dobre wrażenia? Złe doświadczenie?
xxx.yyyswoją domenę w linku. Jednak ta strona zgłasza mi dwa błędy: 1. W DNS nie znaleziono obsługiwanych rekordów DNSKEY. Zazwyczaj oznacza to, że twoje serwery nazw nie są poprawnie skonfigurowane dla DNSSEC. oraz 2. W rejestrze nie znaleziono rekordów DNSSEC. Oznacza to, że domena nie jest poprawnie skonfigurowana do obsługi DNSSEC.