Упрощенная проблема
Я хочу купить домен и сделать сайт полностью защищенным с помощью DNSSEC .
Я хочу убедиться, что только один правильный SSL-сертификат может быть проверен браузерами, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены.
Где я могу купить домен? Ware я должен купить сертификат? (Или я должен использовать самозаверяющий сертификат с DNSSEC вместо CA?) Где я могу разместить DNS? Какие провайдеры делают весь процесс максимально удобным, наиболее доступным, наиболее полным, наиболее профессиональным, наиболее надежным, наиболее безопасным?
Фон
Я слышал о небезопасности DNS в течение многих лет. Я смотрел все разговоры Дэна Камински и других от DNS-эксплойтов до будущего DNS Security Panel . Я знал, что использование DNS без безопасности - это катастрофа, ожидающая своего появления. Я следил за развитием стандарта DNSSEC. Я праздновал церемонию подписания ключей .
Тем временем я прочитал о тысячах SSL-сертификатов, выданных на неквалифицированные имена и мошеннических SSL-сертификатов, выпущенных для CIA, MI6, Mossad и многих других подобных историях, в которых показаны проблемы с текущей реализацией веб-сайтов, защищенных с помощью SSL, которые могут быть решены DNSSEC (см .: A Важнейшая веха в Интернете: DNSSEC и SSL и DNSSEC для исправления беспорядка SSL? И проверка SSL-сертификата и DNSSEC ). Все было на правильном пути, чтобы наконец создать безопасную систему DNS.
А теперь, более чем через 2 года, я хотел сделать то, что все сказали, что я должен делать: использовать DNSSEC для нового домена. Поэтому мне нужен регистратор домена и служба хостинга DNS, которая поддерживает DNSSEC. Удивительно, но даже не так легко узнать, кто поддерживает DNSSEC и в какой степени. На самом деле было гораздо проще найти информацию о DNSSEC два года назад, когда все собирались поддержать DNSSEC Реально скоро Сейчас, но сейчас прошли годы, и я почти не вижу никакого прогресса. Я просто надеюсь, что я просто искал не в тех местах, и кто-то здесь любезно объяснит все сомнения.
Я надеюсь, что другие люди, которые хотят иметь безопасный веб-сайт, также найдут этот вопрос полезным.
Что нужно
- регистратор и DNS-серверы с полной поддержкой DNSSEC для
.comдоменов - интеграция DNSSEC с сертификатами SSL
Что не нужно
- Поддержка IPv6
- веб хостинг
- что нибудь еще
Что я узнал до сих пор
- Go Daddy предлагает услугу Premium DNS за дополнительные 36 долларов в год, что позволяет вам «защитить до 5 доменов с помощью DNSSEC».
- В easyDNS DNSSEC доступен в бета-версии на всех уровнях обслуживания (необходимо включить флаг «бета-версия» в конфигурации), но он не готов к работе и, судя по отсутствию обновлений, не является функцией с наивысшим приоритетом ( последнее обновление с марта 2011 года на EasyDNS блоге).
- Name.com - по данным The Register ( регистратор доменов в США использует IPv6, DNSSEC ), он поддерживает DNSSEC с 2010 года, но сейчас (октябрь 2012 года) я не смог найти ничего, связанного с DNSSEC, на их веб-сайте.
- Dynadot, который очень часто рекомендуется , не поддерживает DNSSEC
- Namecheap, который также часто рекомендуется, не поддерживает DNSSEC. Поддержка Ответ с 2011 года предположил , что он добавляется , но в 2012 году до сих пор не ETA не предоставляется клиентам .
- DynDNS должен был поддерживать DNSSEC, я нашел ссылку, объясняющую поддержку DNSSEC, но она дает страницу 404 Not Found и предлагает поле поиска - при поиске DNSSEC я получаю «Не найдено результатов по вашему запросу».
- GKG был рекомендован онлайн для поддержки DNSSEC, но трудно найти какую-либо информацию об уровне поддержки DNSSEC - есть краткое объяснение того, что такое DNSSEC и как подписывать записи лица, подписывающего делегацию, в их FAQ, но никакая информация об уровне фактической поддержки не может быть найденным.
- Спросите Slashdot: Какие регистраторы поддерживают DNSSEC? с июля 2011 г. - список ответов Go Daddy, DynDNS, GKG, Name.com в качестве регистраторов, которые поддерживают DNSSEC, но: см. выше .
- Регистраторы, которые поддерживают управление DNSSEC для конечного пользователя, в том числе ввод записей DS в ICANN (спасибо Робу за напоминание об этом ) - проблема с этим списком в том, что уровень поддержки неизвестен, то есть нужно ли платить за DNSSEC дополнительно сборы не упоминаются, не говоря уже об удобстве покупки, настройки и размещения доменов, полностью защищенных с помощью DNSSEC и SSL.
- Список регистраторов .ORG, прошедших OT & E для DNSSEC, публикуемый Общественным реестром интересов - множество регистраторов, но они перечислены для
.orgподдержки TLD и как они говорят: «Это не указывает, включил ли регистратор услугу DNSSEC для владельцев регистрации. Пожалуйста, свяжитесь непосредственно с регистраторами для их обслуживания DNSSEC. " - Как защитить и подпишите свой домен DNSSEC Использование регистраторов доменов в Internet Society (спасибо Ник для указания его) в настоящее время списки только два , что поддержка
.comTLD в списке «регистраторами Поддержка DNSSEC для регистрации и хостинг» , то есть. Go Daddy (с доплатой 36 долларов в год) и Dyn (с доплатой 330 долларов в год) . Подробности смотрите в разделе Как подписать домен с помощью DNSSEC с помощью Dyn, Inc и Как подписать домен с помощью DNSSEC с помощью GoDaddy.com .
Смежные вопросы
- Как найти веб-хостинг, который отвечает моим требованиям?
- Что нужно для добавления DNSSEC на мой сайт?
- DNS-хостинг лучше управляется провайдером домена или хостинг-провайдером?
- Регистратор с хорошей безопасностью, DNS-хостинг и распознаватели DNSSEC и IPv6?
В № 1 Никто никогда не упоминает DNS вообще. В № В двух ответах упоминается только .seДВУ, ответов очень мало, и они кажутся очень устаревшими. В № 3 в одном ответе говорится: «В проектах, которые требуют более высокой безопасности, я мог бы искать веб-хостинг, поддерживающий DNSSEC», но больше информации не предоставляется.
Единственные соответствующие ответы - нет. 4 где easyDNS рекомендуется тем, кто никогда не использовал их лично. Между тем, по состоянию на октябрь 2012 года, поддержка DNSSEC описана как «в бета-версии» в списке возможностей easyDNS . Другой рекомендует SiteGround, но поиск DNSSEC на их сайте не дает результатов. Другие ответы рекомендуют хостинг-провайдеров, которые не отвечают требованиям поддержки DNSSEC. Кроме того, в упомянутом выше вопросе перечислены 9 очень специфических требований, отличных от DNSSEC (например, cookie-файлы для входа в систему только по протоколу HTTP, двухфакторная аутентификация, отсутствие ограничений DNS-записей, статистика DNS-запросов / день, контрольные журналы и т. Д.), Которые могли бы быть исключены. много возможных рекомендаций, если кто-то заинтересован только в поддержке DNSSEC.
Выводы
Возможно ли, что пионером внедрения DNSSEC станет Go Daddy, и все «экспертные» службы DNS еще не готовы?
Я думал, что к концу 2012 года поддержка DNSSEC среди регистраторов доменов и провайдеров DNS станет почти универсальной. Я в шоке, что поддержка кажется практически отсутствует. Является ли это результатом каких-то серьезных проблем с принятием DNSSEC? Или это просто не горячая тема, и никто больше не беспокоится? По данным DNSSEC Scoreboard, примерно 0,1% .comдоменов поддерживают DNSSEC. Может ли это быть вызвано отсутствием поддержки DNSSEC среди регистраторов и провайдеров DNS, информацию слишком сложно найти или, может быть, никто не заботится? Здесь даже нет тега "dnssec".
Резюме
Информация на удивление трудно найти. Вот почему я прошу из первых рук опыта и личных рекомендаций.
Кто-нибудь здесь на самом деле настраивал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия работающего веб-сайта, который полностью защищен с помощью DNSSEC?
Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что только один правильный сертификат может быть проверен браузером, а все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?
Кто-нибудь может порекомендовать кого-либо из упомянутых выше регистраторов?
Кто-нибудь может порекомендовать любого регистратора, не упомянутого выше?
Есть хороший опыт? Плохой опыт?
xxx.yyyсвой домен в ссылке. Однако эта страница сообщает мне о двух ошибках: 1. В DNS не было найдено поддерживаемых записей DNSKEY. Обычно это означает, что ваши серверы имен не настроены должным образом для DNSSEC. и 2. Никакие записи DNSSEC не были найдены в реестре. Это означает, что ваш домен не настроен должным образом для DNSSEC.