Как найти регистратора доменов и DNS-хостинг с хорошей поддержкой DNSSEC?


17

Упрощенная проблема

Я хочу купить домен и сделать сайт полностью защищенным с помощью DNSSEC .

Я хочу убедиться, что только один правильный SSL-сертификат может быть проверен браузерами, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены.

Где я могу купить домен? Ware я должен купить сертификат? (Или я должен использовать самозаверяющий сертификат с DNSSEC вместо CA?) Где я могу разместить DNS? Какие провайдеры делают весь процесс максимально удобным, наиболее доступным, наиболее полным, наиболее профессиональным, наиболее надежным, наиболее безопасным?

Фон

Я слышал о небезопасности DNS в течение многих лет. Я смотрел все разговоры Дэна Камински и других от DNS-эксплойтов до будущего DNS Security Panel . Я знал, что использование DNS без безопасности - это катастрофа, ожидающая своего появления. Я следил за развитием стандарта DNSSEC. Я праздновал церемонию подписания ключей .

Тем временем я прочитал о тысячах SSL-сертификатов, выданных на неквалифицированные имена и мошеннических SSL-сертификатов, выпущенных для CIA, MI6, Mossad и многих других подобных историях, в которых показаны проблемы с текущей реализацией веб-сайтов, защищенных с помощью SSL, которые могут быть решены DNSSEC (см .: A Важнейшая веха в Интернете: DNSSEC и SSL и DNSSEC для исправления беспорядка SSL? И проверка SSL-сертификата и DNSSEC ). Все было на правильном пути, чтобы наконец создать безопасную систему DNS.

А теперь, более чем через 2 года, я хотел сделать то, что все сказали, что я должен делать: использовать DNSSEC для нового домена. Поэтому мне нужен регистратор домена и служба хостинга DNS, которая поддерживает DNSSEC. Удивительно, но даже не так легко узнать, кто поддерживает DNSSEC и в какой степени. На самом деле было гораздо проще найти информацию о DNSSEC два года назад, когда все собирались поддержать DNSSEC Реально скоро Сейчас, но сейчас прошли годы, и я почти не вижу никакого прогресса. Я просто надеюсь, что я просто искал не в тех местах, и кто-то здесь любезно объяснит все сомнения.

Я надеюсь, что другие люди, которые хотят иметь безопасный веб-сайт, также найдут этот вопрос полезным.

Что нужно

  • регистратор и DNS-серверы с полной поддержкой DNSSEC для .comдоменов
  • интеграция DNSSEC с сертификатами SSL

Что не нужно

  • Поддержка IPv6
  • веб хостинг
  • что нибудь еще

Что я узнал до сих пор

Смежные вопросы

  1. Как найти веб-хостинг, который отвечает моим требованиям?
  2. Что нужно для добавления DNSSEC на мой сайт?
  3. DNS-хостинг лучше управляется провайдером домена или хостинг-провайдером?
  4. Регистратор с хорошей безопасностью, DNS-хостинг и распознаватели DNSSEC и IPv6?

В № 1 Никто никогда не упоминает DNS вообще. В № В двух ответах упоминается только .seДВУ, ответов очень мало, и они кажутся очень устаревшими. В № 3 в одном ответе говорится: «В проектах, которые требуют более высокой безопасности, я мог бы искать веб-хостинг, поддерживающий DNSSEC», но больше информации не предоставляется.

Единственные соответствующие ответы - нет. 4 где easyDNS рекомендуется тем, кто никогда не использовал их лично. Между тем, по состоянию на октябрь 2012 года, поддержка DNSSEC описана как «в бета-версии» в списке возможностей easyDNS . Другой рекомендует SiteGround, но поиск DNSSEC на их сайте не дает результатов. Другие ответы рекомендуют хостинг-провайдеров, которые не отвечают требованиям поддержки DNSSEC. Кроме того, в упомянутом выше вопросе перечислены 9 очень специфических требований, отличных от DNSSEC (например, cookie-файлы для входа в систему только по протоколу HTTP, двухфакторная аутентификация, отсутствие ограничений DNS-записей, статистика DNS-запросов / день, контрольные журналы и т. Д.), Которые могли бы быть исключены. много возможных рекомендаций, если кто-то заинтересован только в поддержке DNSSEC.

Выводы

Возможно ли, что пионером внедрения DNSSEC станет Go Daddy, и все «экспертные» службы DNS еще не готовы?

Я думал, что к концу 2012 года поддержка DNSSEC среди регистраторов доменов и провайдеров DNS станет почти универсальной. Я в шоке, что поддержка кажется практически отсутствует. Является ли это результатом каких-то серьезных проблем с принятием DNSSEC? Или это просто не горячая тема, и никто больше не беспокоится? По данным DNSSEC Scoreboard, примерно 0,1% .comдоменов поддерживают DNSSEC. Может ли это быть вызвано отсутствием поддержки DNSSEC среди регистраторов и провайдеров DNS, информацию слишком сложно найти или, может быть, никто не заботится? Здесь даже нет тега "dnssec".

Резюме

Информация на удивление трудно найти. Вот почему я прошу из первых рук опыта и личных рекомендаций.

Кто-нибудь здесь на самом деле настраивал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия работающего веб-сайта, который полностью защищен с помощью DNSSEC?

Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что только один правильный сертификат может быть проверен браузером, а все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?

Кто-нибудь может порекомендовать кого-либо из упомянутых выше регистраторов?

Кто-нибудь может порекомендовать любого регистратора, не упомянутого выше?

Есть хороший опыт? Плохой опыт?


Отличный вопрос Я не могу предложить личную рекомендацию, но в этом списке PIR представлена ​​обновленная группа поставщиков DNSSEC, некоторые из которых пока не упомянуты в вашем списке. В Internet Society также есть руководство по подписанию доменов с DNSSEC с небольшим, но растущим числом регистраторов.
Ник

Стоит упомянуть, что в руководствах Internet Society упоминаются цены, поэтому они довольно полезны. Похоже, DNSSEC на данный момент является премиальным сервисом среди всех регистраторов.
Ник

Спасибо @Nick Я добавил информацию из ваших ссылок на вопрос.
rsp

1
Этот список ( frankb.us/dns ) бесплатных вторичных / подчиненных серверов (с указанием того, поддерживают ли они DNSSEC) кажется полезной отправной точкой, если вы решите, что платить Dyn Inc. $ 30 / месяц слишком дорого для одного или двух доменов, и что вы просто не хотите идти туда с GoDaddy, а предпочитаете самостоятельно запускать службы DNS с помощью некоторого удаленного резервного копирования (что я, вероятно, сделаю для своих личных доменов, хотя я, вероятно, буду использовать Dyn Inc. для рекламы проект). Когда я его настрою, я напишу свой опыт в ответе здесь.
Алекс Дюпуй

У меня есть домен .info от Name.com. Теперь у них есть отдельная страница для управления DNSSEC. Замените xxx.yyyсвой домен в ссылке. Однако эта страница сообщает мне о двух ошибках: 1. В DNS не было найдено поддерживаемых записей DNSKEY. Обычно это означает, что ваши серверы имен не настроены должным образом для DNSSEC. и 2. Никакие записи DNSSEC не были найдены в реестре. Это означает, что ваш домен не настроен должным образом для DNSSEC.
HRJ

Ответы:


7

Этот веб-сайт: https://pointless.net/

Является ли dnssec подписанным и использует запись TLSA ( RFC6698 ) для защиты SSL-сертификата (который также подписан CA CERT , своего рода веб- центром доверия с открытым исходным кодом).

Я запускаю свои собственные серверы имен и использую Easydns в качестве регистратора - однако Easydns не поддерживает помещение записи DS в зону .net, поэтому я использую службу проверки домена ISC в качестве привязки доверия, которая является бесплатной и используется большинством проверяющих разрешителей DNSSEC. Я также использую gkg.net для некоторых других доменов, и они поддерживают правильную работу DNSSEC.

В настоящее время ни один веб-браузер (насколько мне известно) не имеет встроенной поддержки для проверки записей TLSA, однако вы можете получить надстройку для проверки TLSA для Firefox, но она зависает при некоторых поисках DNS.

Этим летом я выступал с докладом по DNSSEC и связанным с ним вопросам на EMFCamp Hackercamp, мои заметки и дамп ссылок находятся на вики EMFCamp .

PS Если вы читаете это и считаете, что DNSSEC и TLSA - пустая трата времени, прочитайте эту статью о том, как протекает Великий брандмауэр Китая .

Итак, чтобы ответить на ваши краткие вопросы:

Кто-нибудь здесь на самом деле настраивал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия работающего веб-сайта, который полностью защищен с помощью DNSSEC?

да

Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что только один правильный сертификат может быть проверен браузером, а все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?

да

Кто-нибудь может порекомендовать кого-либо из упомянутых выше регистраторов?

gkg.net

Кто-нибудь может порекомендовать любого регистратора, не упомянутого выше?

dlv.isc.org, хотя он и не является регистратором, он позволяет работать с регистраторами, которые не поддерживают dnssec.

Есть хороший опыт? Плохой опыт?

уроки выучены:

  • Если вы используете свои собственные DNS-серверы, вы должны использовать некоторое программное обеспечение для управления сменой ключей dnssec, я использую zkt signer .
  • вы не можете иметь один и тот же фрагмент программного обеспечения DNS-сервера, который будет одновременно и авторитетным сервером, и проверяющим распознавателем - конфликт между объявлением и флажками, я должен был помешать своему серверу имен стать распознавателем, отсоединить его от localhost и использовать вместо него unbound на localhost ,

обновления:

Это хорошее резюме текущего состояния игры.

обновление 13 декабря 2012 г .:

Сейчас я использую gkg.net для всех своих доменов. Я все еще использую сервис isc dlv, но он мне больше не нужен.

обновление 15 сентября 2014

Я сейчас использую gandi.net


2

У меня нет личного опыта работы с DNSSEC, поэтому я не могу давать никаких рекомендаций, но эта ссылка с сайта ICANN показывает список текущих регистраторов, которые сообщили о поддержке DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Благодарю. Я уже прочитал этот список (я забыл упомянуть его в вопросе, возможно, я добавлю его для полноты), но проблема с этим списком заключается в том, что уровень поддержки полностью неизвестен. Например, Go Daddy указан в списке, но кажется, что DNSSEC - это премиальная функция, за которую нужно платить дополнительные сборы, и я не знаю, как это работает на практике. Name.com в списке, DynDNS в списке, easyDNS в списке, но см. Информацию в моем вопросе. Трудно найти, какие регистраторы полностью поддерживают DNSSEC или насколько удобно они это делают, и поэтому я спрашиваю о личном опыте.
rsp
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.