Как найти регистратора доменов и DNS-хостинг с хорошей поддержкой DNSSEC?

Упрощенная проблема

Я хочу купить домен и сделать сайт полностью защищенным с помощью DNSSEC .

Я хочу убедиться, что только один правильный SSL-сертификат может быть проверен браузерами, и все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены.

Где я могу купить домен? Ware я должен купить сертификат? (Или я должен использовать самозаверяющий сертификат с DNSSEC вместо CA?) Где я могу разместить DNS? Какие провайдеры делают весь процесс максимально удобным, наиболее доступным, наиболее полным, наиболее профессиональным, наиболее надежным, наиболее безопасным?

Фон

Я слышал о небезопасности DNS в течение многих лет. Я смотрел все разговоры Дэна Камински и других от DNS-эксплойтов до будущего DNS Security Panel . Я знал, что использование DNS без безопасности - это катастрофа, ожидающая своего появления. Я следил за развитием стандарта DNSSEC. Я праздновал церемонию подписания ключей .

Тем временем я прочитал о тысячах SSL-сертификатов, выданных на неквалифицированные имена и мошеннических SSL-сертификатов, выпущенных для CIA, MI6, Mossad и многих других подобных историях, в которых показаны проблемы с текущей реализацией веб-сайтов, защищенных с помощью SSL, которые могут быть решены DNSSEC (см .: A Важнейшая веха в Интернете: DNSSEC и SSL и DNSSEC для исправления беспорядка SSL? И проверка SSL-сертификата и DNSSEC ). Все было на правильном пути, чтобы наконец создать безопасную систему DNS.

А теперь, более чем через 2 года, я хотел сделать то, что все сказали, что я должен делать: использовать DNSSEC для нового домена. Поэтому мне нужен регистратор домена и служба хостинга DNS, которая поддерживает DNSSEC. Удивительно, но даже не так легко узнать, кто поддерживает DNSSEC и в какой степени. На самом деле было гораздо проще найти информацию о DNSSEC два года назад, когда все собирались поддержать DNSSEC Реально скоро Сейчас, но сейчас прошли годы, и я почти не вижу никакого прогресса. Я просто надеюсь, что я просто искал не в тех местах, и кто-то здесь любезно объяснит все сомнения.

Я надеюсь, что другие люди, которые хотят иметь безопасный веб-сайт, также найдут этот вопрос полезным.

Что нужно

• регистратор и DNS-серверы с полной поддержкой DNSSEC для .comдоменов
• интеграция DNSSEC с сертификатами SSL

Что не нужно

• Поддержка IPv6
• веб хостинг
• что нибудь еще

Что я узнал до сих пор

• Go Daddy предлагает услугу Premium DNS за дополнительные 36 долларов в год, что позволяет вам «защитить до 5 доменов с помощью DNSSEC».
• В easyDNS DNSSEC доступен в бета-версии на всех уровнях обслуживания (необходимо включить флаг «бета-версия» в конфигурации), но он не готов к работе и, судя по отсутствию обновлений, не является функцией с наивысшим приоритетом ( последнее обновление с марта 2011 года на EasyDNS блоге).
• Name.com - по данным The Register ( регистратор доменов в США использует IPv6, DNSSEC ), он поддерживает DNSSEC с 2010 года, но сейчас (октябрь 2012 года) я не смог найти ничего, связанного с DNSSEC, на их веб-сайте.
• Dynadot, который очень часто рекомендуется , не поддерживает DNSSEC
• Namecheap, который также часто рекомендуется, не поддерживает DNSSEC. Поддержка Ответ с 2011 года предположил , что он добавляется , но в 2012 году до сих пор не ETA не предоставляется клиентам .
• DynDNS должен был поддерживать DNSSEC, я нашел ссылку, объясняющую поддержку DNSSEC, но она дает страницу 404 Not Found и предлагает поле поиска - при поиске DNSSEC я получаю «Не найдено результатов по вашему запросу».
• GKG был рекомендован онлайн для поддержки DNSSEC, но трудно найти какую-либо информацию об уровне поддержки DNSSEC - есть краткое объяснение того, что такое DNSSEC и как подписывать записи лица, подписывающего делегацию, в их FAQ, но никакая информация об уровне фактической поддержки не может быть найденным.
• Спросите Slashdot: Какие регистраторы поддерживают DNSSEC? с июля 2011 г. - список ответов Go Daddy, DynDNS, GKG, Name.com в качестве регистраторов, которые поддерживают DNSSEC, но: см. выше .
• Регистраторы, которые поддерживают управление DNSSEC для конечного пользователя, в том числе ввод записей DS в ICANN (спасибо Робу за напоминание об этом ) - проблема с этим списком в том, что уровень поддержки неизвестен, то есть нужно ли платить за DNSSEC дополнительно сборы не упоминаются, не говоря уже об удобстве покупки, настройки и размещения доменов, полностью защищенных с помощью DNSSEC и SSL.
• Список регистраторов .ORG, прошедших OT & E для DNSSEC, публикуемый Общественным реестром интересов - множество регистраторов, но они перечислены для .orgподдержки TLD и как они говорят: «Это не указывает, включил ли регистратор услугу DNSSEC для владельцев регистрации. Пожалуйста, свяжитесь непосредственно с регистраторами для их обслуживания DNSSEC. "
• Как защитить и подпишите свой домен DNSSEC Использование регистраторов доменов в Internet Society (спасибо Ник для указания его) в настоящее время списки только два , что поддержка .comTLD в списке «регистраторами Поддержка DNSSEC для регистрации и хостинг» , то есть. Go Daddy (с доплатой 36 долларов в год) и Dyn (с доплатой 330 долларов в год) . Подробности смотрите в разделе Как подписать домен с помощью DNSSEC с помощью Dyn, Inc и Как подписать домен с помощью DNSSEC с помощью GoDaddy.com .

Смежные вопросы

1. Как найти веб-хостинг, который отвечает моим требованиям?
2. Что нужно для добавления DNSSEC на мой сайт?
3. DNS-хостинг лучше управляется провайдером домена или хостинг-провайдером?
4. Регистратор с хорошей безопасностью, DNS-хостинг и распознаватели DNSSEC и IPv6?

В № 1 Никто никогда не упоминает DNS вообще. В № В двух ответах упоминается только .seДВУ, ответов очень мало, и они кажутся очень устаревшими. В № 3 в одном ответе говорится: «В проектах, которые требуют более высокой безопасности, я мог бы искать веб-хостинг, поддерживающий DNSSEC», но больше информации не предоставляется.

Единственные соответствующие ответы - нет. 4 где easyDNS рекомендуется тем, кто никогда не использовал их лично. Между тем, по состоянию на октябрь 2012 года, поддержка DNSSEC описана как «в бета-версии» в списке возможностей easyDNS . Другой рекомендует SiteGround, но поиск DNSSEC на их сайте не дает результатов. Другие ответы рекомендуют хостинг-провайдеров, которые не отвечают требованиям поддержки DNSSEC. Кроме того, в упомянутом выше вопросе перечислены 9 очень специфических требований, отличных от DNSSEC (например, cookie-файлы для входа в систему только по протоколу HTTP, двухфакторная аутентификация, отсутствие ограничений DNS-записей, статистика DNS-запросов / день, контрольные журналы и т. Д.), Которые могли бы быть исключены. много возможных рекомендаций, если кто-то заинтересован только в поддержке DNSSEC.

Выводы

Возможно ли, что пионером внедрения DNSSEC станет Go Daddy, и все «экспертные» службы DNS еще не готовы?

Я думал, что к концу 2012 года поддержка DNSSEC среди регистраторов доменов и провайдеров DNS станет почти универсальной. Я в шоке, что поддержка кажется практически отсутствует. Является ли это результатом каких-то серьезных проблем с принятием DNSSEC? Или это просто не горячая тема, и никто больше не беспокоится? По данным DNSSEC Scoreboard, примерно 0,1% .comдоменов поддерживают DNSSEC. Может ли это быть вызвано отсутствием поддержки DNSSEC среди регистраторов и провайдеров DNS, информацию слишком сложно найти или, может быть, никто не заботится? Здесь даже нет тега "dnssec".

Резюме

Информация на удивление трудно найти. Вот почему я прошу из первых рук опыта и личных рекомендаций.

Кто-нибудь здесь на самом деле настраивал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия работающего веб-сайта, который полностью защищен с помощью DNSSEC?

Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что только один правильный сертификат может быть проверен браузером, а все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?

Кто-нибудь может порекомендовать кого-либо из упомянутых выше регистраторов?

Кто-нибудь может порекомендовать любого регистратора, не упомянутого выше?

Есть хороший опыт? Плохой опыт?

Этот веб-сайт: https://pointless.net/

Является ли dnssec подписанным и использует запись TLSA ( RFC6698 ) для защиты SSL-сертификата (который также подписан CA CERT , своего рода веб- центром доверия с открытым исходным кодом).

Я запускаю свои собственные серверы имен и использую Easydns в качестве регистратора - однако Easydns не поддерживает помещение записи DS в зону .net, поэтому я использую службу проверки домена ISC в качестве привязки доверия, которая является бесплатной и используется большинством проверяющих разрешителей DNSSEC. Я также использую gkg.net для некоторых других доменов, и они поддерживают правильную работу DNSSEC.

В настоящее время ни один веб-браузер (насколько мне известно) не имеет встроенной поддержки для проверки записей TLSA, однако вы можете получить надстройку для проверки TLSA для Firefox, но она зависает при некоторых поисках DNS.

Этим летом я выступал с докладом по DNSSEC и связанным с ним вопросам на EMFCamp Hackercamp, мои заметки и дамп ссылок находятся на вики EMFCamp .

PS Если вы читаете это и считаете, что DNSSEC и TLSA - пустая трата времени, прочитайте эту статью о том, как протекает Великий брандмауэр Китая .

Итак, чтобы ответить на ваши краткие вопросы:

Кто-нибудь здесь на самом деле настраивал веб-сайт с DNSSEC, от регистрации домена до настройки DNS-серверов, до фактического наличия работающего веб-сайта, который полностью защищен с помощью DNSSEC?

да

Кто-нибудь успешно интегрировал DNSSEC с SSL-сертификатами, чтобы убедиться, что только один правильный сертификат может быть проверен браузером, а все мошеннические SSL-сертификаты или сертификаты для неквалифицированных имен будут отклонены?

да

Кто-нибудь может порекомендовать кого-либо из упомянутых выше регистраторов?

gkg.net

Кто-нибудь может порекомендовать любого регистратора, не упомянутого выше?

dlv.isc.org, хотя он и не является регистратором, он позволяет работать с регистраторами, которые не поддерживают dnssec.

Есть хороший опыт? Плохой опыт?

уроки выучены:

• Если вы используете свои собственные DNS-серверы, вы должны использовать некоторое программное обеспечение для управления сменой ключей dnssec, я использую zkt signer .
• вы не можете иметь один и тот же фрагмент программного обеспечения DNS-сервера, который будет одновременно и авторитетным сервером, и проверяющим распознавателем - конфликт между объявлением и флажками, я должен был помешать своему серверу имен стать распознавателем, отсоединить его от localhost и использовать вместо него unbound на localhost ,

обновления:

Это хорошее резюме текущего состояния игры.

обновление 13 декабря 2012 г .:

Сейчас я использую gkg.net для всех своих доменов. Я все еще использую сервис isc dlv, но он мне больше не нужен.

обновление 15 сентября 2014

Я сейчас использую gandi.net

У меня нет личного опыта работы с DNSSEC, поэтому я не могу давать никаких рекомендаций, но эта ссылка с сайта ICANN показывает список текущих регистраторов, которые сообщили о поддержке DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment