Как найти регистратора доменов и DNS-хостинг с хорошей поддержкой DNSSEC?

Упрощенная задача

Я хочу купить домен и создать веб-сайт, полностью защищенный с помощью DNSSEC.

Я хочу убедиться, что браузеры могут проверить только один правильный SSL-сертификат, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены.

Где я могу купить домен? Где я должен купить сертификат? (Или я должен использовать самоподписанный сертификат с DNSSEC вместо CAS?) Где я могу разместить DNS? Какие поставщики делают весь процесс наиболее удобным, наиболее доступным, наиболее полным, наиболее профессиональным, наиболее надежным, наиболее безопасным?

Предыстория

Я слышал о ненадежности DNS в течение многих лет. Я просмотрел все выступления Дэна Каминского и других от DNS-эксплойтов до Панели безопасности будущего DNS. Я знал, что использование DNS без безопасности это катастрофа, которая вот-вот произойдет. Я следил за разработкой стандарта DNSSEC. Я отпраздновал церемонию подписания ключа.

Тем временем я читал о Тысячах сертификатов SSL, выданных На Неквалифицированные имена и Мошеннических сертификатах SSL, выданных для ЦРУ, МИ-6, Моссад и многих других подобных историях, показывающих проблемы с текущей реализацией веб-сайтов, защищенных SSL, которые могут быть решены с помощью DNSSEC (см.: Важная веха в Интернете: DNSSEC и SSL и DNSSEC, чтобы исправить ошибку SSL? и Проверка SSL-сертификата и DNSSEC). Все было на правильном пути, чтобы, наконец, создать безопасную систему DNS.

И теперь, более 2 лет спустя, я хотел просто сделать то, что все говорили, что я должен сделать: использовать DNSSEC для нового домена. Поэтому мне нужен регистратор доменов и служба DNS-хостинга, поддерживающая DNSSEC. Удивительно, но не так просто даже выяснить, кто поддерживает DNSSEC и в какой степени. На самом деле это было очень много легче найти информацию о DNSSEC два года назад, когда все собирались поддерживать DNSSEC Очень скоро, но сейчас прошли годы, и я почти не вижу никакого прогресса. Я просто надеюсь, что я просто искал не в тех местах, и кто-нибудь здесь любезно объяснит все сомнения.

Я надеюсь, что другие люди, которые хотят иметь безопасный веб-сайт, также найдут этот вопрос полезным.

Что необходимо

• регистратор и DNS-серверы с полной поддержкой DNSSEC для .com домены
• интеграция DNSSEC с SSL-сертификатами

Что не нужно

• Поддержка IPv6
• Веб-хостинг
• что-нибудь еще

Что я узнал до сих пор

• Go Daddy предлагает Премиум-сервис DNS за дополнительные 36 долларов в год, который позволяет "Защитить до 5 доменов с помощью DNSSEC".
• EasyDNS имеет DNSSEC, доступный в бета-версии на всех уровнях обслуживания (вам необходимо включите флаг "бета" в конфигурации), но он, похоже, не готов к производству, и, судя по отсутствию обновлений, он не является функцией наивысшего приоритета (последнее обновление от марта 2011 года в блоге EasyDNS).
• Name.com - согласно реестру ( Регистратор доменов США использует IPv6, DNSSEC), он поддерживает DNSSEC с 2010 года, но прямо сейчас (октябрь 2012 года) я не смог найти ничего, связанного с DNSSEC на их веб-сайте.
• Динадо это очень часто рекомендуется не поддерживает DNSSEC
• Namecheap, который также часто рекомендуется, не поддерживает DNSSEC. Ответ поддержки от 2011 года предполагал, что он был добавлен, но в 2012 году по-прежнему не предоставляется клиентам ETA.
• DynDNS должен был поддерживать DNSSEC, я нашел ссылку, объясняющую поддержку DNSSEC, но она дает 404 Не найденную страницу и предлагает окно поиска - при поиске DNSSEC Я получаю "По вашему запросу не найдено результатов".
• GKG был рекомендован онлайн для поддержки DNSSEC, но трудно найти какую-либо информацию об уровне поддержки DNSSEC - в их часто задаваемых вопросах есть краткое объяснение , что такое DNSSEC и , как подписывать записи подписывающего делегирования, но никакой информации об уровне фактической поддержки найти нельзя.
• Спросите Slashdot: Какие регистраторы поддерживают DNSSEC? с июля 2011 года - Список ответов Go Daddy, DynDNS, ГКГ, Name.com как регистраторы, которые поддерживают DNSSEC, но: см. Выше.
• Регистраторы, которые поддерживают управление DNSSEC конечных пользователей, включая ввод записей DS ICANN (спасибо Робу за напоминание мне об этом) - проблема с этим списком заключается в том, что уровень поддержки неизвестен, не упоминается тот факт, нужно ли платить за DNSSEC дополнительные сборы, не говоря уже об удобстве покупки, настройки и размещения доменов, полностью защищенных с помощью DNSSEC и SSL.
• Список.Регистраторы ОРГАНИЗАЦИЙ, которые прошли OT&E для DNSSEC, опубликованные Реестром общественных интересов - много регистраторов, но они перечислены для поддержки .org TLD и, как они говорят: "Это не указывает, включил ли регистратор службу DNSSEC для владельцев регистраций. Пожалуйста, свяжитесь с регистраторами напрямую для получения их услуги DNSSEC"
.
• Как Защитить И Подписать Свой Домен С Помощью DNSSEC С Помощью Регистраторов Доменов по Интернет-обществу (спасибо Нику за указание на это) в настоящее время перечислены только два , которые поддерживают .com TLD в списке "Регистраторы, поддерживающие DNSSEC Для регистрации и хостинга", т. е.. Go Daddy (с дополнительной платой в размере 36 долларов США в год) и Dyn (с дополнительной платой в размере 330 долларов США в год). Смотрите Как Подписать Свой Домен С Помощью DNSSEC С Помощью Dyn, Inc и Как Подписать Свой Домен С Помощью DNSSEC С Помощью GoDaddy.com подробнее.

Связанные с этим вопросы

1. Как найти веб-хостинг, соответствующий моим требованиям?
2. Что необходимо для добавления DNSSEC на мой сайт?
3. DNS-хостинг лучше управляется поставщиком домена или хостинг-провайдером?
4. Регистратор с хорошей безопасностью, DNS-хостингом и распознавателями DNSSEC и IPv6?

В № 1 никто вообще никогда не упоминает DNS. В № 2 даны только ответы упомяните TLD .se, ответов очень мало, и они кажутся очень устаревшими. В № 3 один ответ гласит: "В проектах, требующих более высокой безопасности, я мог бы поискать веб-хост, поддерживающий DNSSEC", но больше никакой информации не предоставляется.

Единственные соответствующие ответы приведены в № 4, где EasyDNS рекомендуется тем, кто никогда не использовал их лично. Между тем, по состоянию на октябрь 2012 года поддержка DNSSEC описана как "в бета-версии" в функции EasyDNS список. Другой рекомендует SiteGround, но поиск на их сайте DNSSEC не дает результатов. В других ответах рекомендуются поставщики веб-хостинга, которые не отвечают требованиям поддержки DNSSEC. Также в вопросе, упомянутом выше, перечислены 9 очень специфических требований, отличных от только DNSSEC (например, например. Файлы cookie для входа только по HTTP, двухфакторная аутентификация, отсутствие ограничений на записи DNS, статистика DNS запросов в день, журналы аудита и т. Д.), Которые могли бы исключить многие возможные рекомендации, если один заинтересован только в поддержке DNSSEC.

Выводы

Возможно ли, что пионером внедрения DNSSEC станет Go Daddy, и все "экспертные" службы DNS еще не готовы?

Я думал, что к концу 2012 года поддержка DNSSEC среди регистраторов доменов и поставщиков DNS будет почти универсальной. Я потрясен тем, что поддержка кажется практически несуществующей. Является ли это результатом каких-то серьезных проблем с внедрением DNSSEC? Или это просто не горячая тема, и никто больше не беспокоит? Согласно табло DNSSEC, примерно около 0,1% доменов .com поддерживают DNSSEC. Может ли это быть вызвано отсутствием поддержки DNSSEC среди регистраторов и поставщиков DNS, слишком ли сложно найти информацию или, может быть, это никого не волнует? Здесь даже нет тега "dnssec".

Краткое описание

Информацию на удивление трудно найти. Вот почему я прошу об опыте из первых рук и личных рекомендациях.

Имеет кто-нибудь здесь на самом деле создал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия рабочего веб-сайта, полностью защищенного с помощью DNSSEC?

Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что браузер может проверить только один правильный сертификат, и все несанкционированные SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?

Может ли кто-нибудь порекомендуйте кого-нибудь из регистраторов, упомянутых выше?

Может ли кто-нибудь порекомендовать какого-либо регистратора, не упомянутого выше?

Есть какой-нибудь хороший опыт? Плохой опыт?