Jak znaleźć rejestratora domen i hosting DNS z dobrą obsługą DNSSEC?

Uproszczony problem

Chcę kupić domenę i stworzyć witrynę w pełni zabezpieczoną za pomocą DNSSEC .

Chcę się upewnić, że tylko jeden prawidłowy certyfikat SSL może zostać zweryfikowany przez przeglądarki, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone.

Gdzie mogę kupić domenę? Gdzie powinienem kupić certyfikat? (Czy powinienem używać certyfikatu z podpisem własnym z DNSSEC zamiast z urzędów certyfikacji?) Gdzie mogę hostować DNS? Którzy dostawcy sprawiają, że cały proces jest najwygodniejszy, najtańszy, najbardziej kompletny, najbardziej profesjonalny, najsolidniejszy i najbezpieczniejszy?

tło

Od lat słyszę o niepewności DNS . Obejrzałem wszystkie rozmowy Dana Kamińskiego i innych, od exploitów DNS po Przyszłość panelu bezpieczeństwa DNS . Wiedziałem, że korzystanie z DNS bez zabezpieczeń to katastrofa, która czeka. Śledziłem rozwój standardu DNSSEC. Świętowałem kluczową ceremonię podpisania .

W międzyczasie czytałem o Tysiącach certyfikatów SSL wydanych na niekwalifikowane nazwy i fałszywych certyfikatach SSL wydanych dla CIA, MI6, Mossad i wielu innych podobnych historii pokazujących problemy z bieżącą implementacją stron internetowych zabezpieczonych SSL, które mogłyby zostać rozwiązane przez DNSSEC (patrz: A Główne Internet Milestone: DNSSEC i SSL i DNSSEC naprawić bałagan SSL? i walidacji certyfikatów SSL i DNSSEC ). Wszystko było na dobrej drodze, aby wreszcie mieć bezpieczny system DNS.

A teraz ponad 2 lata później chciałem zrobić to, co wszyscy powiedzieli, że powinienem zrobić: użyć DNSSEC dla nowej domeny. Potrzebuję więc rejestratora domen i usługi hostingowej DNS, która obsługuje DNSSEC. Co zaskakujące, nie jest nawet tak łatwo dowiedzieć się, kto obsługuje DNSSEC i do jakiego stopnia. O wiele łatwiej było znaleźć informacje o DNSSEC dwa lata temu, kiedy wszyscy zamierzali wesprzeć DNSSEC już wkrótce, ale teraz minęły lata i prawie nie widzę żadnego postępu. Mam tylko nadzieję, że po prostu szukałem w niewłaściwych miejscach i ktoś tutaj uprzejmie wyjaśni wszystkie wątpliwości.

Mam nadzieję, że inne osoby, które chcą mieć bezpieczną stronę internetową, również uznają to pytanie za przydatne.

Co jest potrzebne

• rejestratory i serwery DNS z pełną obsługą DNSSEC dla .comdomen
• integracja DNSSEC z certyfikatami SSL

Co nie jest potrzebne

• Obsługa IPv6
• hosting
• coś jeszcze

Co do tej pory się dowiedziałem

• Go Daddy oferuje usługę Premium DNS za dodatkowe 36 USD rocznie, która pozwala „zabezpieczyć do 5 domen za pomocą DNSSEC”.
• easyDNS ma DNSSEC dostępny w wersji Beta na wszystkich poziomach usług (musisz włączyć flagę „beta” w konfiguracji), ale wydaje się, że nie jest gotowy do produkcji i sądząc z braku aktualizacji, nie jest to funkcja o najwyższym priorytecie ( Ostatnia zmiana od marca 2011 na easyDNS blog).
• Name.com - według The Register ( amerykański rejestrator domen obsługuje IPv6, DNSSEC ) obsługuje DNSSEC od 2010 roku, ale teraz (październik 2012) nie mogłem znaleźć niczego związanego z DNSSEC na ich stronie internetowej.
• Dynadot, który jest bardzo często zalecany , nie obsługuje DNSSEC
• Często polecany namecheap nie obsługuje DNSSEC. Odpowiedź wsparcia z 2011 r. Sugerowała, że ​​została dodana, ale w 2012 r. Nadal nie otrzymano ETA od klientów .
• DynDNS miał obsługiwać DNSSEC, znalazłem link wyjaśniający obsługę DNSSEC, ale wyświetla stronę 404 Nie znaleziono i oferuje pole wyszukiwania - podczas wyszukiwania DNSSEC pojawia się komunikat „Nie znaleziono wyników dla twojego zapytania”.
• GKG było polecane online do obsługi DNSSEC, ale trudno jest znaleźć jakiekolwiek informacje na temat poziomu wsparcia DNSSEC - istnieje krótkie wyjaśnienie, czym jest DNSSEC i jak podpisywać rekordy osób podpisujących delegację w ich FAQ, ale żadna informacja o poziomie faktycznego wsparcia nie może być znalezionym.
• Zapytaj Slashdot: Którzy rejestratorzy obsługują DNSSEC? od lipca 2011 r. - Lista odpowiedzi Go Daddy, DynDNS, GKG, Name.com jako rejestratorzy obsługujący DNSSEC, ale: patrz wyżej .
• Rejestratorzy, którzy wspierają zarządzanie DNSSEC użytkowników końcowych, w tym wprowadzanie rekordów DS przez ICANN (dzięki Robowi za przypomnienie mi o tym ) - problemem z tą listą jest to, że poziom wsparcia jest nieznany, fakt, czy trzeba płacić za DNSSEC dodatkowo opłaty nie są wspomniane, nie mówiąc już o wygodzie zakupu, konfiguracji i hostingu domen w pełni zabezpieczonych DNSSEC i SSL.
• Lista rejestratorów .ORG, którzy zdali OT&E dla DNSSEC opublikowanych przez Rejestr Zainteresowania Publicznego - wielu rejestratorów, ale są oni wyszczególnieni do .orgobsługi TLD i jak mówią: „Nie oznacza to, czy rejestrator włączył usługę DNSSEC dla rejestrujących . Skontaktuj się bezpośrednio z rejestratorami w sprawie usługi DNSSEC. ”
• Jak zabezpieczyć i podpisać domenę za pomocą DNSSEC Korzystanie z rejestratorów domen przez społeczeństwo internetowe (podziękowania dla Nicka za wskazanie) obecnie wymienia tylko dwa, które obsługują .comTLD na liście „Rejestratorów obsługujących DNSSEC do rejestracji i hostingu”, tj. Go Daddy (z dodatkową opłatą 36 USD rocznie) i Dyn (z dodatkową opłatą 330 USD rocznie) . Aby uzyskać szczegółowe informacje, zobacz Jak podpisać domenę za pomocą DNSSEC za pomocą Dyn, Inc i Jak podpisać domenę za pomocą DNSSEC za pomocą GoDaddy.com .

Powiązane pytania

1. Jak znaleźć hosting spełniający moje wymagania?
2. Co jest potrzebne, aby dodać DNSSEC do mojej witryny?
3. Hosting DNS lepiej zarządzany przez dostawcę domeny lub dostawcę hostingu?
4. Rejestrator z dobrym bezpieczeństwem, hostingiem DNS oraz DNSSEC i resolwery IPv6?

W nr 1 nikt nigdy nie wspomina o DNS. W nr 2 odpowiedzi tylko wspominają o .seTLD, jest bardzo mało odpowiedzi i wydają się bardzo nieaktualne. W nr 3 jedna odpowiedź brzmi: „W projektach wymagających wyższego poziomu bezpieczeństwa mogę szukać hosta obsługującego DNSSEC”, ale nie podano więcej informacji.

Jedyne istotne odpowiedzi są przeczące. 4, gdzie easyDNS jest polecany przez kogoś, kto nigdy nie korzystał z nich osobiście. Tymczasem od października 2012 r. Obsługa DNSSEC jest opisana jako „w wersji beta” na liście funkcji easyDNS . Inny zaleca SiteGround, ale przeszukanie ich witryny w poszukiwaniu DNSSEC nie zwraca żadnych wyników. Inne odpowiedzi zalecają dostawców hostingu, którzy nie spełniają wymogu obsługi DNSSEC. Również wyżej wspomniane pytanie wymienia 9 bardzo specyficznych wymagań innych niż tylko DNSSEC (jak np. Pliki cookie logowania tylko HTTP, uwierzytelnianie dwuskładnikowe, brak limitów rekordów DNS, statystyki DNS zapytań / dzień, ścieżki audytu itp.), Które mogły zostać wykluczone wiele możliwych rekomendacji, jeśli ktoś jest zainteresowany jedynie obsługą DNSSEC.

Wnioski

Czy to możliwe, że pionierem adopcji DNSSEC będzie Go Daddy, a wszystkie „eksperckie” usługi DNS nie są jeszcze gotowe?

Myślałem, że do końca 2012 r. Obsługa DNSSEC wśród rejestratorów domen i dostawców DNS będzie prawie powszechna. Jestem zszokowany, że wsparcie wydaje się praktycznie nie istnieć. Czy jest to wynikiem poważnych problemów z przyjęciem DNSSEC? A może po prostu nie jest to gorący temat i nikt się już nie przejmuje? Według tablicy wyników DNSSEC około 0,1% .comdomen obsługuje DNSSEC. Czy może to być spowodowane brakiem obsługi DNSSEC wśród rejestratorów i dostawców DNS, czy informacje są zbyt trudne do znalezienia, czy może nikogo to nie obchodzi? Nie ma tu nawet tagu „dnssec”.

streszczenie

Informacje są zaskakująco trudne do znalezienia. Dlatego proszę o doświadczenie z pierwszej ręki i osobiste rekomendacje.

Czy ktoś tutaj założył witrynę z DNSSEC, od rejestracji domeny, przez konfigurację serwerów DNS, aż po działającą stronę internetową, która jest w pełni zabezpieczona za pomocą DNSSEC?

Czy ktokolwiek z powodzeniem zintegrował DNSSEC z certyfikatami SSL, aby upewnić się, że przeglądarka może zweryfikować tylko jeden właściwy certyfikat, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone?

Czy ktoś może polecić któregokolwiek z wyżej wymienionych rejestratorów?

Czy ktoś może polecić rejestratora niewymienionego powyżej?

Jakieś dobre wrażenia? Złe doświadczenie?

Ta strona internetowa: https://pointless.net/

Jest podpisany przez dnssec i używa rekordu TLSA ( RFC6698 ) do zabezpieczenia certyfikatu SSL (który jest również podpisany przez CA CERT , rodzaj otwartej sieci zaufanego urzędu certyfikacji).

Prowadzę własne serwery nazw i używam Easydns jako mojego rejestratora - jednak Easydns nie obsługuje umieszczania rekordu DS w strefie .net, więc używam usługi walidacji poprawności domen ISC (DLV) jako kotwicy zaufania, która jest bezpłatna i jest używana przez większość resolverów walidujących DNSSEC. Używam również gkg.net dla niektórych innych domen i one obsługują prawidłowe wykonywanie DNSSEC.

Obecnie żadna przeglądarka internetowa (o ile mi wiadomo) nie ma natywnej obsługi sprawdzania poprawności rekordów TLSA, jednak możesz uzyskać dodatek sprawdzający TLSA dla firefoxa , ale zawiesza się on przy niektórych przeglądarkach dns.

Tego lata przeprowadziłem rozmowę na temat DNSSEC i powiązanych zagadnień na EMFCamp Hackercamp, moje notatki i zrzut linków znajdują się na wiki EMFCamp .

PS Jeśli czytasz to i uważasz, że DNSSEC i TLSA to strata czasu, przeczytaj ten artykuł o tym, jak Wielka Zapora ogniowa wycieków z Chin .

Aby odpowiedzieć na pytania podsumowujące:

Czy ktoś tutaj założył witrynę z DNSSEC, od rejestracji domeny, przez konfigurację serwerów DNS, aż po działającą stronę internetową, która jest w pełni zabezpieczona za pomocą DNSSEC?

tak

Czy ktokolwiek z powodzeniem zintegrował DNSSEC z certyfikatami SSL, aby upewnić się, że przeglądarka może zweryfikować tylko jeden właściwy certyfikat, a wszystkie fałszywe certyfikaty SSL lub certyfikaty dla niekwalifikowanych nazw zostaną odrzucone?

tak

Czy ktoś może polecić któregokolwiek z wyżej wymienionych rejestratorów?

gkg.net

Czy ktoś może polecić rejestratora niewymienionego powyżej?

dlv.isc.org, chociaż nie jest to dokładnie rejestrator, pozwala on na obejście rejestratorów, którzy nie obsługują dnssec.

Jakieś dobre wrażenia? Złe doświadczenie?

zdobyta wiedza:

• Jeśli prowadzisz własne serwery dns, musisz użyć oprogramowania do zarządzania rolowaniem kluczy dnssec, ja używam podpisującego zkt .
• nie możesz mieć tego samego oprogramowania serwera DNS, które może być zarówno autorytatywnym serwerem, jak i sprawdzającym resolverem - kolidują reklamy i flagi, musiałem powstrzymać mój serwer nazw przed tłumaczeniem, odłączyć go od localhost i zamiast tego użyć niezwiązanego na localhost .

aktualizacje:

To dobre podsumowanie obecnego stanu rzeczy

aktualizacja 13 grudnia 2012:

Teraz używam gkg.net dla wszystkich moich domen. Nadal korzystam z usługi isc dlv, ale tak naprawdę już jej nie potrzebuję.

aktualizacja 15 września 2014 r

Teraz używam gandi.net

Nie mam osobistego doświadczenia z DNSSEC, więc tak naprawdę nie mogę sformułować żadnych zaleceń, ale ten link z witryny ICANN pokazuje listę obecnych rejestratorów, którzy zgłosili wsparcie dla DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment