Спрощена проблема
Я хочу придбати домен і зробити веб-сайт, повністю захищений DNSSEC .
Хочу переконатися, що браузери можуть перевірити лише один правильний сертифікат SSL, і всі відверті сертифікати SSL або сертифікати для некваліфікованих імен будуть відхилені.
Де можна придбати домен? Чому я повинен купити сертифікат? (Або я повинен використовувати сертифікат самопідписаного з DNSSEC замість CA?) Де я можу розмістити DNS? Які постачальники роблять весь процес найзручнішим, найдоступнішим, найповнішим, найпрофесійнішим, найбільш надійним, найбезпечнішим?
Фон
Я почув про незахищеність DNS роками. Я спостерігав за усіма переговорами Дена Камінського та інших людей з подвигів DNS до майбутнього Панелі безпеки DNS . Я знав, що використання DNS без захисту - це катастрофа, яка чекає цього. Я стежив за розробкою стандарту DNSSEC. Я відзначив ключову церемонію підписання .
Тим часом я читав про тисячі сертифікатів SSL, виданих некваліфікованим іменам, і розбіжних SSL-сертифікатів, виданих для ЦРУ, MI6, Моссада та багатьох інших подібних історій, що показують проблеми з поточною реалізацією веб-сайтів, захищених SSL, які могли б бути вирішені DNSSEC (див.: A Основна віха Інтернету: DNSSEC і SSL та DNSSEC для виправлення безладдя SSL? Та перевірки сертифікатів SSL та DNSSEC ). Все було на правильному шляху, щоб нарешті створити захищену систему DNS.
І тепер більше 2 років я хотів просто зробити те, що всі сказали, що я повинен робити: використовувати DNSSEC для нового домену. Тому мені потрібен реєстратор домену та служба хостингу DNS, яка підтримує DNSSEC. Дивно навіть не так просто дізнатися, хто підтримує DNSSEC і в якій мірі. Насправді набагато простіше було знайти інформацію про DNSSEC два роки тому, коли всі збиралися підтримувати DNSSEC Real Soon Now, але зараз минули роки, і я навряд чи бачу досягнутого прогресу. Я просто сподіваюся, що я просто дивився в неправильні місця і хтось тут люб’язно пояснить усі сумніви.
Сподіваюся, що інші люди, які хочуть мати захищений веб-сайт, також вважають це питання корисним.
Що потрібно
- реєстратор та DNS-сервери з повною підтримкою DNSSEC для
.comдоменів - інтеграція DNSSEC з сертифікатами SSL
Що не потрібно
- Підтримка IPv6
- веб хостинг
- щось більше
Що я дізнався поки що
- Go Daddy пропонує службу Premium DNS за додаткові 36 доларів на рік, що дозволяє “захистити до 5 доменів за допомогою DNSSEC”.
- easyDNS має DNSSEC, доступний у бета-версії на всіх рівнях обслуговування (потрібно ввімкнути прапор "бета" в конфігурації), але він, здається, не готовий до виробництва, і, судячи з відсутності оновлень, він не є найвищим пріоритетом ( останнє оновлення з березня 2011 року на EasyDNS блозі).
- Name.com - згідно з даними Реєстру ( американський реєстратор домену займається IPv6, DNSSEC ), він підтримує DNSSEC з 2010 року, але зараз (жовтень 2012) я не міг знайти нічого, пов’язаного з DNSSEC на їхньому веб-сайті.
- Динадот, який дуже часто рекомендують , не підтримує DNSSEC
- Ім'я, що також часто рекомендується, не підтримує DNSSEC. Відповідь підтримки від 2011 року передбачає, що її додають, але в 2012 році досі клієнтам не надається ETA .
- DynDNS повинен був підтримувати DNSSEC, я знайшов посилання, що пояснює підтримку DNSSEC, але він дає сторінку 404 Not Found і пропонує поле пошуку - при пошуку DNSSEC я отримую "Не знайдено жодних результатів для вашого запиту".
- GKG було рекомендовано в Інтернеті для підтримки DNSSEC, але важко знайти будь-яку інформацію про рівень підтримки DNSSEC - є коротке пояснення про те, що таке DNSSEC і як підписати записи підписувача делегації у своїх FAQ, але жодна інформація про рівень фактичної підтримки не може бути знайденим.
- Запитайте Slashdot: Які реєстратори підтримують DNSSEC? з липня 2011 р. - Список відповідей Перейдіть на тато, DynDNS, GKG, Name.com як реєстраторів, які підтримують DNSSEC, але: див. вище .
- Реєстратори, які підтримують управління кінцевим користувачем DNSSEC, включаючи запис DS записів ICANN (спасибі Робу за те, що нагадав мені про це ) - проблема цього списку полягає в тому, що рівень підтримки невідомий, факт, чи потрібно платити за DNSSEC додатково збори не згадуються, не кажучи вже про зручність придбання, налаштування та розміщення доменів, повністю захищених DNSSEC та SSL.
- Список реєстраторів .ORG, які пройшли OT&E для DNSSEC, опублікований Реєстром громадських інтересів - багато реєстраторів, але вони вказані на
.orgпідтримку TLD, і як кажуть: "Це не вказує на те, чи включив реєстратор службу DNSSEC для реєстраторів . Будь ласка, зв'яжіться з реєстраторами безпосередньо для їх служби DNSSEC. " - Як захистити і підпишіть свій домен DNSSEC Використання реєстраторів доменів в Internet Society (спасибі Нік для вказівки його) в даний час списки тільки два , що підтримка
.comTLD в списку «реєстраторами Підтримка DNSSEC для реєстрації та хостинг» , тобто. Ідіть тато (з додатковою комісією $ 36 / рік) та Dyn (з додатковою платою 330 доларів на рік) . Докладніше див. Як підписати свій домен за допомогою DNSSEC за допомогою Dyn, Inc та як підписати свій домен за допомогою DNSSEC за допомогою GoDaddy.com для отримання детальної інформації.
Пов'язані питання
- Як знайти веб-хостинг, який відповідає моїм вимогам?
- Що потрібно, щоб додати DNSSEC на мій сайт?
- Хостинг DNS, що краще керується постачальником домену або хостинг-провайдером?
- Реєстратор з хорошою безпекою, DNS-хостингом та DNSSEC та IPv6-розв’язниками?
В ні. 1 ніхто ніколи взагалі не згадує DNS. В ні. 2 відповіді згадують лише .seTLD, відповідей дуже мало, і вони здаються дуже застарілими. В ні. 3 в одній відповіді сказано: "У проектах, які вимагають більш високої безпеки, я можу шукати веб-хостингу, який підтримує DNSSEC", але більше інформації не надається.
Єдині відповідні відповіді - ні. 4, де easyDNS рекомендується тим, хто ніколи не використовував їх особисто. Тим часом, станом на жовтень 2012 року підтримка DNSSEC описується як "у бета-версії" у списку функцій easyDNS . Ще один рекомендує SiteGround, але пошук DNSSEC на їхньому сайті не дає результатів. Інші відповіді рекомендують провайдерам веб-хостингу, які не відповідають вимогам підтримки DNSSEC. Також у згаданому вище питанні перелічено 9 дуже специфічних вимог, окрім лише DNSSEC (наприклад, файли cookie для входу лише у HTTP, двофакторна автентифікація, відсутність обмежень для записів DNS, статистика запитів DNS на день, записи аудиту тощо), які, можливо, були виключені багато можливих рекомендацій, якщо когось цікавить лише підтримка DNSSEC.
Висновки
Чи можливо, що першопрохідцем прийняття DNSSEC буде Go Daddy, і всі "експертні" служби DNS ще не готові?
Я вважав, що до кінця 2012 року підтримка DNSSEC серед реєстраторів домену та постачальників DNS буде майже універсальною. Я вражений тим, що підтримка здається практично відсутньою. Це є наслідком серйозних проблем із прийняттям ДНСЕС? Або це просто не гаряча тема і вже ніхто не турбує? За даними табло DNSSEC приблизно близько 0,1% .comдоменів підтримують DNSSEC. Це може бути викликано відсутністю підтримки DNSSEC серед реєстраторів та постачальників послуг DNS, чи є інформація занадто важкою для пошуку або, можливо, нікого не цікавить? Тут навіть немає тегу "dnssec".
Підсумок
Інформацію напрочуд важко знайти. Ось чому я прошу досвіду з перших рук та особистих рекомендацій.
Хтось тут насправді створив веб-сайт із DNSSEC - від реєстрації домену до конфігурації DNS-серверів - до фактично діючого веб-сайту, який повністю захищений DNSSEC?
Хтось успішно інтегрував DNSSEC із SSL-сертифікатами, щоб переконатися, що браузер може перевірити лише один правильний сертифікат, а всі неправомірні SSL-сертифікати чи сертифікати для некваліфікованих імен будуть відхилені?
Чи може хтось порекомендувати будь-якого із згаданих вище реєстраторів?
Чи може хтось порекомендувати будь-якого реєстратора, не згаданого вище?
Будь-який хороший досвід? Поганий досвід?
xxx.yyyсвій домен за посиланням. Однак ця сторінка повідомляє про дві помилки для мене: 1. Жодних підтримуваних записів DNSKEY в DNS не знайдено. Зазвичай це означає, що ваші сервери імен неправильно налаштовані для DNSSEC. та 2. У реєстрі не було знайдено записів DNSSEC. Це означає, що ваш домен неправильно налаштований для DNSSEC.