Jak znaleźć rejestratora domen i hosting DNS z dobrą obsługą DNSSEC?


17

Uproszczony problem

Chcę kupić domenę i stworzyć witrynę w pełni zabezpieczoną za pomocą DNSSEC .

Chcę się upewnić, że tylko jeden prawidłowy certyfikat SSL może zostać zweryfikowany przez przeglądarki, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone.

Gdzie mogę kupić domenę? Gdzie powinienem kupić certyfikat? (Czy powinienem używać certyfikatu z podpisem własnym z DNSSEC zamiast z urzędów certyfikacji?) Gdzie mogę hostować DNS? Którzy dostawcy sprawiają, że cały proces jest najwygodniejszy, najtańszy, najbardziej kompletny, najbardziej profesjonalny, najsolidniejszy i najbezpieczniejszy?

tło

Od lat słyszę o niepewności DNS . Obejrzałem wszystkie rozmowy Dana Kamińskiego i innych, od exploitów DNS po Przyszłość panelu bezpieczeństwa DNS . Wiedziałem, że korzystanie z DNS bez zabezpieczeń to katastrofa, która czeka. Śledziłem rozwój standardu DNSSEC. Świętowałem kluczową ceremonię podpisania .

W międzyczasie czytałem o Tysiącach certyfikatów SSL wydanych na niekwalifikowane nazwy i fałszywych certyfikatach SSL wydanych dla CIA, MI6, Mossad i wielu innych podobnych historii pokazujących problemy z bieżącą implementacją stron internetowych zabezpieczonych SSL, które mogłyby zostać rozwiązane przez DNSSEC (patrz: A Główne Internet Milestone: DNSSEC i SSL i DNSSEC naprawić bałagan SSL? i walidacji certyfikatów SSL i DNSSEC ). Wszystko było na dobrej drodze, aby wreszcie mieć bezpieczny system DNS.

A teraz ponad 2 lata później chciałem zrobić to, co wszyscy powiedzieli, że powinienem zrobić: użyć DNSSEC dla nowej domeny. Potrzebuję więc rejestratora domen i usługi hostingowej DNS, która obsługuje DNSSEC. Co zaskakujące, nie jest nawet tak łatwo dowiedzieć się, kto obsługuje DNSSEC i do jakiego stopnia. O wiele łatwiej było znaleźć informacje o DNSSEC dwa lata temu, kiedy wszyscy zamierzali wesprzeć DNSSEC już wkrótce, ale teraz minęły lata i prawie nie widzę żadnego postępu. Mam tylko nadzieję, że po prostu szukałem w niewłaściwych miejscach i ktoś tutaj uprzejmie wyjaśni wszystkie wątpliwości.

Mam nadzieję, że inne osoby, które chcą mieć bezpieczną stronę internetową, również uznają to pytanie za przydatne.

Co jest potrzebne

  • rejestratory i serwery DNS z pełną obsługą DNSSEC dla .comdomen
  • integracja DNSSEC z certyfikatami SSL

Co nie jest potrzebne

  • Obsługa IPv6
  • hosting
  • coś jeszcze

Co do tej pory się dowiedziałem

Powiązane pytania

  1. Jak znaleźć hosting spełniający moje wymagania?
  2. Co jest potrzebne, aby dodać DNSSEC do mojej witryny?
  3. Hosting DNS lepiej zarządzany przez dostawcę domeny lub dostawcę hostingu?
  4. Rejestrator z dobrym bezpieczeństwem, hostingiem DNS oraz DNSSEC i resolwery IPv6?

W nr 1 nikt nigdy nie wspomina o DNS. W nr 2 odpowiedzi tylko wspominają o .seTLD, jest bardzo mało odpowiedzi i wydają się bardzo nieaktualne. W nr 3 jedna odpowiedź brzmi: „W projektach wymagających wyższego poziomu bezpieczeństwa mogę szukać hosta obsługującego DNSSEC”, ale nie podano więcej informacji.

Jedyne istotne odpowiedzi są przeczące. 4, gdzie easyDNS jest polecany przez kogoś, kto nigdy nie korzystał z nich osobiście. Tymczasem od października 2012 r. Obsługa DNSSEC jest opisana jako „w wersji beta” na liście funkcji easyDNS . Inny zaleca SiteGround, ale przeszukanie ich witryny w poszukiwaniu DNSSEC nie zwraca żadnych wyników. Inne odpowiedzi zalecają dostawców hostingu, którzy nie spełniają wymogu obsługi DNSSEC. Również wyżej wspomniane pytanie wymienia 9 bardzo specyficznych wymagań innych niż tylko DNSSEC (jak np. Pliki cookie logowania tylko HTTP, uwierzytelnianie dwuskładnikowe, brak limitów rekordów DNS, statystyki DNS zapytań / dzień, ścieżki audytu itp.), Które mogły zostać wykluczone wiele możliwych rekomendacji, jeśli ktoś jest zainteresowany jedynie obsługą DNSSEC.

Wnioski

Czy to możliwe, że pionierem adopcji DNSSEC będzie Go Daddy, a wszystkie „eksperckie” usługi DNS nie są jeszcze gotowe?

Myślałem, że do końca 2012 r. Obsługa DNSSEC wśród rejestratorów domen i dostawców DNS będzie prawie powszechna. Jestem zszokowany, że wsparcie wydaje się praktycznie nie istnieć. Czy jest to wynikiem poważnych problemów z przyjęciem DNSSEC? A może po prostu nie jest to gorący temat i nikt się już nie przejmuje? Według tablicy wyników DNSSEC około 0,1% .comdomen obsługuje DNSSEC. Czy może to być spowodowane brakiem obsługi DNSSEC wśród rejestratorów i dostawców DNS, czy informacje są zbyt trudne do znalezienia, czy może nikogo to nie obchodzi? Nie ma tu nawet tagu „dnssec”.

streszczenie

Informacje są zaskakująco trudne do znalezienia. Dlatego proszę o doświadczenie z pierwszej ręki i osobiste rekomendacje.

Czy ktoś tutaj założył witrynę z DNSSEC, od rejestracji domeny, przez konfigurację serwerów DNS, aż po działającą stronę internetową, która jest w pełni zabezpieczona za pomocą DNSSEC?

Czy ktokolwiek z powodzeniem zintegrował DNSSEC z certyfikatami SSL, aby upewnić się, że przeglądarka może zweryfikować tylko jeden właściwy certyfikat, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone?

Czy ktoś może polecić któregokolwiek z wyżej wymienionych rejestratorów?

Czy ktoś może polecić rejestratora niewymienionego powyżej?

Jakieś dobre wrażenia? Złe doświadczenie?


Świetne pytanie. Nie mogę zaoferować osobistej rekomendacji, ale ta lista z PIR zawiera aktualną grupę dostawców DNSSEC, z których niektórzy nie są jeszcze wspomniani na twojej liście. Internet Society ma również przewodnik na temat podpisywania domen za pomocą DNSSEC z niewielką, ale rosnącą liczbą rejestratorów.
Nick

Trzeba było wspomnieć, że wszystkie przewodniki Internet Society wspominają o cenach, więc są całkiem przydatne. Wygląda na to, że DNSSEC jest obecnie usługą premium wśród wszystkich rejestratorów.
Nick

Dzięki @Nick Dodałem informacje z twoich linków do pytania.
rsp

1
Ta lista ( frankb.us/dns ) darmowych serwerów pomocniczych / podrzędnych (ze wskazaniem, czy obsługują one DNSSEC) wydaje się przydatnym punktem wyjścia, jeśli zdecydujesz, że płacenie Dyn Inc. za 30 USD za miesiąc jest zbyt drogie dla jednej lub dwóch domen oraz że po prostu nie chcesz tam iść z GoDaddy, ale wolisz samodzielnie uruchomić usługi DNS z pewną zdalną kopią zapasową (co prawdopodobnie zrobię dla moich osobistych domen, chociaż prawdopodobnie użyłbym Dyn Inc. do celów komercyjnych projekt). Kiedy go skonfiguruję, opiszę moje doświadczenia w odpowiedzi tutaj.
Alex Dupuy,

Mam domenę .info z Name.com. Mają teraz osobną stronę do zarządzania DNSSEC. Zamień na xxx.yyyswoją domenę w linku. Jednak ta strona zgłasza mi dwa błędy: 1. W DNS nie znaleziono obsługiwanych rekordów DNSKEY. Zazwyczaj oznacza to, że twoje serwery nazw nie są poprawnie skonfigurowane dla DNSSEC. oraz 2. W rejestrze nie znaleziono rekordów DNSSEC. Oznacza to, że domena nie jest poprawnie skonfigurowana do obsługi DNSSEC.
HRJ,

Odpowiedzi:


7

Ta strona internetowa: https://pointless.net/

Jest podpisany przez dnssec i używa rekordu TLSA ( RFC6698 ) do zabezpieczenia certyfikatu SSL (który jest również podpisany przez CA CERT , rodzaj otwartej sieci zaufanego urzędu certyfikacji).

Prowadzę własne serwery nazw i używam Easydns jako mojego rejestratora - jednak Easydns nie obsługuje umieszczania rekordu DS w strefie .net, więc używam usługi walidacji poprawności domen ISC (DLV) jako kotwicy zaufania, która jest bezpłatna i jest używana przez większość resolverów walidujących DNSSEC. Używam również gkg.net dla niektórych innych domen i one obsługują prawidłowe wykonywanie DNSSEC.

Obecnie żadna przeglądarka internetowa (o ile mi wiadomo) nie ma natywnej obsługi sprawdzania poprawności rekordów TLSA, jednak możesz uzyskać dodatek sprawdzający TLSA dla firefoxa , ale zawiesza się on przy niektórych przeglądarkach dns.

Tego lata przeprowadziłem rozmowę na temat DNSSEC i powiązanych zagadnień na EMFCamp Hackercamp, moje notatki i zrzut linków znajdują się na wiki EMFCamp .

PS Jeśli czytasz to i uważasz, że DNSSEC i TLSA to strata czasu, przeczytaj ten artykuł o tym, jak Wielka Zapora ogniowa wycieków z Chin .

Aby odpowiedzieć na pytania podsumowujące:

Czy ktoś tutaj założył witrynę z DNSSEC, od rejestracji domeny, przez konfigurację serwerów DNS, aż po działającą stronę internetową, która jest w pełni zabezpieczona za pomocą DNSSEC?

tak

Czy ktokolwiek z powodzeniem zintegrował DNSSEC z certyfikatami SSL, aby upewnić się, że przeglądarka może zweryfikować tylko jeden właściwy certyfikat, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone?

tak

Czy ktoś może polecić któregokolwiek z wyżej wymienionych rejestratorów?

gkg.net

Czy ktoś może polecić rejestratora niewymienionego powyżej?

dlv.isc.org, chociaż nie jest to dokładnie rejestrator, pozwala on na obejście rejestratorów, którzy nie obsługują dnssec.

Jakieś dobre wrażenia? Złe doświadczenie?

zdobyta wiedza:

  • Jeśli prowadzisz własne serwery dns, musisz użyć oprogramowania do zarządzania rolowaniem kluczy dnssec, ja używam podpisującego zkt .
  • nie możesz mieć tego samego oprogramowania serwera DNS, które może być zarówno autorytatywnym serwerem, jak i sprawdzającym resolverem - kolidują reklamy i flagi, musiałem powstrzymać mój serwer nazw przed tłumaczeniem, odłączyć go od localhost i zamiast tego użyć niezwiązanego na localhost .

aktualizacje:

To dobre podsumowanie obecnego stanu rzeczy

aktualizacja 13 grudnia 2012:

Teraz używam gkg.net dla wszystkich moich domen. Nadal korzystam z usługi isc dlv, ale tak naprawdę już jej nie potrzebuję.

aktualizacja 15 września 2014 r

Teraz używam gandi.net


2

Nie mam osobistego doświadczenia z DNSSEC, więc tak naprawdę nie mogę sformułować żadnych zaleceń, ale ten link z witryny ICANN pokazuje listę obecnych rejestratorów, którzy zgłosili wsparcie dla DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Dzięki. Przeczytałem już tę listę (zapomniałem wspomnieć o niej w pytaniu, może dodam ją dla kompletności), ale problem z tą listą polega na tym, że poziom wsparcia jest całkowicie nieznany. Na przykład Go Daddy znajduje się na liście, ale wygląda na to, że DNSSEC to funkcja premium, za którą musisz uiścić dodatkowe opłaty, a ja nie wiem, jak to działa w praktyce. Name.com znajduje się na liście, DynDNS jest na liście, easyDNS jest na liście, ale zobacz informacje w moim pytaniu. Trudno jest ustalić, którzy rejestratorzy w pełni obsługują DNSSEC lub jak to robią i dlatego pytam o osobiste doświadczenia.
rsp
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.