Как найти регистратора доменов и DNS-хостинг с хорошей поддержкой DNSSEC?
Упрощенная задача
Я хочу купить домен и создать веб-сайт, полностью защищенный с помощью DNSSEC.
Я хочу убедиться, что браузеры могут проверить только один правильный SSL-сертификат, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены.
Где я могу купить домен? Где я должен купить сертификат? (Или я должен использовать самоподписанный сертификат с DNSSEC вместо CAS?) Где я могу разместить DNS? Какие поставщики делают весь процесс наиболее удобным, наиболее доступным, наиболее полным, наиболее профессиональным, наиболее надежным, наиболее безопасным?
Предыстория
Я слышал о ненадежности DNS в течение многих лет. Я просмотрел все выступления Дэна Каминского и других от DNS-эксплойтов до Панели безопасности будущего DNS. Я знал, что использование DNS без безопасности это катастрофа, которая вот-вот произойдет. Я следил за разработкой стандарта DNSSEC. Я отпраздновал церемонию подписания ключа.
Тем временем я читал о Тысячах сертификатов SSL, выданных На Неквалифицированные имена и Мошеннических сертификатах SSL, выданных для ЦРУ, МИ-6, Моссад и многих других подобных историях, показывающих проблемы с текущей реализацией веб-сайтов, защищенных SSL, которые могут быть решены с помощью DNSSEC (см.: Важная веха в Интернете: DNSSEC и SSL и DNSSEC, чтобы исправить ошибку SSL? и Проверка SSL-сертификата и DNSSEC). Все было на правильном пути, чтобы, наконец, создать безопасную систему DNS.
И теперь, более 2 лет спустя, я хотел просто сделать то, что все говорили, что я должен сделать: использовать DNSSEC для нового домена. Поэтому мне нужен регистратор доменов и служба DNS-хостинга, поддерживающая DNSSEC. Удивительно, но не так просто даже выяснить, кто поддерживает DNSSEC и в какой степени. На самом деле это было очень много легче найти информацию о DNSSEC два года назад, когда все собирались поддерживать DNSSEC Очень скоро, но сейчас прошли годы, и я почти не вижу никакого прогресса. Я просто надеюсь, что я просто искал не в тех местах, и кто-нибудь здесь любезно объяснит все сомнения.
Я надеюсь, что другие люди, которые хотят иметь безопасный веб-сайт, также найдут этот вопрос полезным.
Что необходимо
- регистратор и DNS-серверы с полной поддержкой DNSSEC для
.com
домены - интеграция DNSSEC с SSL-сертификатами
Что не нужно
- Поддержка IPv6
- Веб-хостинг
- что-нибудь еще
Что я узнал до сих пор
- Go Daddy предлагает Премиум-сервис DNS за дополнительные 36 долларов в год, который позволяет "Защитить до 5 доменов с помощью DNSSEC".
- EasyDNS имеет DNSSEC, доступный в бета-версии на всех уровнях обслуживания (вам необходимо включите флаг "бета" в конфигурации), но он, похоже, не готов к производству, и, судя по отсутствию обновлений, он не является функцией наивысшего приоритета (последнее обновление от марта 2011 года в блоге EasyDNS).
- Name.com - согласно реестру ( Регистратор доменов США использует IPv6, DNSSEC), он поддерживает DNSSEC с 2010 года, но прямо сейчас (октябрь 2012 года) я не смог найти ничего, связанного с DNSSEC на их веб-сайте.
- Динадо это очень часто рекомендуется не поддерживает DNSSEC
- Namecheap, который также часто рекомендуется, не поддерживает DNSSEC. Ответ поддержки от 2011 года предполагал, что он был добавлен, но в 2012 году по-прежнему не предоставляется клиентам ETA.
- DynDNS должен был поддерживать DNSSEC, я нашел ссылку, объясняющую поддержку DNSSEC, но она дает 404 Не найденную страницу и предлагает окно поиска - при поиске DNSSEC Я получаю "По вашему запросу не найдено результатов".
- GKG был рекомендован онлайн для поддержки DNSSEC, но трудно найти какую-либо информацию об уровне поддержки DNSSEC - в их часто задаваемых вопросах есть краткое объяснение , что такое DNSSEC и , как подписывать записи подписывающего делегирования, но никакой информации об уровне фактической поддержки найти нельзя.
- Спросите Slashdot: Какие регистраторы поддерживают DNSSEC? с июля 2011 года - Список ответов Go Daddy, DynDNS, ГКГ, Name.com как регистраторы, которые поддерживают DNSSEC, но: см. Выше.
- Регистраторы, которые поддерживают управление DNSSEC конечных пользователей, включая ввод записей DS ICANN (спасибо Робу за напоминание мне об этом) - проблема с этим списком заключается в том, что уровень поддержки неизвестен, не упоминается тот факт, нужно ли платить за DNSSEC дополнительные сборы, не говоря уже об удобстве покупки, настройки и размещения доменов, полностью защищенных с помощью DNSSEC и SSL.
-
Список.Регистраторы ОРГАНИЗАЦИЙ, которые прошли OT&E для DNSSEC, опубликованные Реестром общественных интересов - много регистраторов, но они перечислены для поддержки
.org
TLD и, как они говорят: "Это не указывает, включил ли регистратор службу DNSSEC для владельцев регистраций. Пожалуйста, свяжитесь с регистраторами напрямую для получения их услуги DNSSEC" .
-
Как Защитить И Подписать Свой Домен С Помощью DNSSEC С Помощью Регистраторов Доменов по Интернет-обществу (спасибо Нику за указание на это) в настоящее время перечислены только два , которые поддерживают
.com
TLD в списке "Регистраторы, поддерживающие DNSSEC Для регистрации и хостинга", т. е.. Go Daddy (с дополнительной платой в размере 36 долларов США в год) и Dyn (с дополнительной платой в размере 330 долларов США в год). Смотрите Как Подписать Свой Домен С Помощью DNSSEC С Помощью Dyn, Inc и Как Подписать Свой Домен С Помощью DNSSEC С Помощью GoDaddy.com подробнее.
Связанные с этим вопросы
- Как найти веб-хостинг, соответствующий моим требованиям?
- Что необходимо для добавления DNSSEC на мой сайт?
- DNS-хостинг лучше управляется поставщиком домена или хостинг-провайдером?
- Регистратор с хорошей безопасностью, DNS-хостингом и распознавателями DNSSEC и IPv6?
В № 1 никто вообще никогда не упоминает DNS.
В № 2 даны только ответы упомяните TLD .se
, ответов очень мало, и они кажутся очень устаревшими.
В № 3 один ответ гласит: "В проектах, требующих более высокой безопасности, я мог бы поискать веб-хост, поддерживающий DNSSEC", но больше никакой информации не предоставляется.
Единственные соответствующие ответы приведены в № 4, где EasyDNS рекомендуется тем, кто никогда не использовал их лично. Между тем, по состоянию на октябрь 2012 года поддержка DNSSEC описана как "в бета-версии" в функции EasyDNS список. Другой рекомендует SiteGround, но поиск на их сайте DNSSEC не дает результатов. В других ответах рекомендуются поставщики веб-хостинга, которые не отвечают требованиям поддержки DNSSEC. Также в вопросе, упомянутом выше, перечислены 9 очень специфических требований, отличных от только DNSSEC (например, например. Файлы cookie для входа только по HTTP, двухфакторная аутентификация, отсутствие ограничений на записи DNS, статистика DNS запросов в день, журналы аудита и т. Д.), Которые могли бы исключить многие возможные рекомендации, если один заинтересован только в поддержке DNSSEC.
Выводы
Возможно ли, что пионером внедрения DNSSEC станет Go Daddy, и все "экспертные" службы DNS еще не готовы?
Я думал, что к концу 2012 года поддержка DNSSEC среди регистраторов доменов и поставщиков DNS будет почти универсальной. Я потрясен тем, что поддержка кажется практически несуществующей. Является ли это результатом каких-то серьезных проблем с внедрением DNSSEC? Или это просто не горячая тема, и никто больше не беспокоит? Согласно табло DNSSEC, примерно около 0,1% доменов .com
поддерживают DNSSEC. Может ли это быть вызвано отсутствием поддержки DNSSEC среди регистраторов и поставщиков DNS, слишком ли сложно найти информацию или, может быть, это никого не волнует? Здесь даже нет тега "dnssec".
Краткое описание
Информацию на удивление трудно найти. Вот почему я прошу об опыте из первых рук и личных рекомендациях.
Имеет кто-нибудь здесь на самом деле создал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия рабочего веб-сайта, полностью защищенного с помощью DNSSEC?
Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что браузер может проверить только один правильный сертификат, и все несанкционированные SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?
Может ли кто-нибудь порекомендуйте кого-нибудь из регистраторов, упомянутых выше?
Может ли кто-нибудь порекомендовать какого-либо регистратора, не упомянутого выше?
Есть какой-нибудь хороший опыт? Плохой опыт?
2 answers
Этот веб-сайт: https://pointless.net/
Подписан dnssec и использует запись TLSA (RFC6698) для защиты SSL-сертификата (который также подписан СЕРТИФИКАТОМ CA, своего рода веб-центром доверия с открытым исходным кодом).
Я запускаю свои собственные серверы имен и использую Easydns в качестве своего регистратора - однако Easydns не поддерживает размещение записи DS в зоне .net, поэтому я использую службу проверки видимости домена ISC (DLV) в качестве привязки доверия, которая бесплатна и доступна. используется большинством разрешающих устройств проверки DNSSEC. Я также использую gkg.net для некоторых других доменов, и они поддерживают правильное выполнение DNSSEC.
В настоящее время ни один веб-браузер (насколько мне известно) не имеет встроенной поддержки для проверки записей TLSA, однако вы можете получить Дополнение для проверки TLSA для firefox, но оно зависает в некоторых поисковых системах dns.
Я выступил с докладом о DNSSEC и связанных с этим вопросах на EMFCAMP Хакеркамп этим летом, мои заметки и дамп ссылок находятся на вики-сайт EMFCAMP.
P.S. Если вы читаете это и думаете, что DNSSEC и TLSA - пустая трата времени, прочитайте эту статью о том, как протекает Великий брандмауэр Китая.
Итак, чтобы ответить на ваши краткие вопросы:
Кто-нибудь здесь на самом деле создавал веб-сайт с DNSSEC, начиная с регистрации домена и заканчивая настройкой DNS-серверов и заканчивая фактически работающим веб-сайтом, полностью защищенным с помощью DNSSEC?
Да
Имеет кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что браузер может проверить только один правильный сертификат, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?
Да
Может ли кто-нибудь порекомендовать кого-либо из упомянутых выше регистраторов?
Gkg.net
Может ли кто-нибудь порекомендовать какого-либо регистратора, не упомянутого выше?
Dlv.isc.org, хотя это не совсем регистратор, он позволяет вам обходить регистраторов, которые не поддерживают dnssec.
Есть какой-нибудь хороший опыт? Плохой опыт?
Извлеченные уроки:
- Если вы используете свои собственные dns-серверы, вы должны использовать некоторое программное обеспечение для управления ролловерами ключей dnssec, я использую подписывающее устройство zkt.
- у вас не может быть одного и того же программного обеспечения DNS-сервера, которое одновременно является авторитетным сервером и проверяющим распознавателем - флаги ad и aa столкновение, мне пришлось запретить моему серверу имен быть распознавателем, отвязать его от локального хоста и вместо этого использовать unbound на локальном хосте.
Обновления:
Это хорошее летнее время для текущего состояния игры
Обновление от 13 декабря 2012 года:
Теперь я использую gkg.net для всех моих доменов. Я все еще пользуюсь услугой isc dlv, но на самом деле она мне больше не нужна.
Обновление 15 сентября 2014
Теперь я использую gandi.net
У меня нет личного опыта работы с DNSSEC, поэтому я не могу давать никаких рекомендаций, но эта ссылка с сайта ICANN показывает список текущих регистраторов, которые сообщили о поддержке DNSSEC: