Problema semplificato
Voglio acquistare un dominio e creare un sito Web completamente protetto con DNSSEC .
Voglio assicurarmi che solo il giusto certificato SSL possa essere validato dai browser e che tutti i certificati o certificati SSL non validi per nomi non qualificati vengano respinti.
Dove posso acquistare un dominio? Whare dovrei comprare un certificato? (O dovrei usare un certificato autofirmato con DNSSEC anziché CA?) Dove posso ospitare DNS? Quali fornitori rendono l'intero processo più conveniente, più conveniente, più completo, più professionale, più robusto, più sicuro?
sfondo
Ho sentito parlare dell'insicurezza del DNS per anni. Ho visto tutti i discorsi di Dan Kaminsky e altri dagli exploit DNS a Il futuro del pannello di sicurezza DNS . Sapevo che l'uso del DNS senza sicurezza è un disastro in attesa di accadere. Ho seguito lo sviluppo dello standard DNSSEC. Ho celebrato la cerimonia della firma chiave .
Nel frattempo ho letto di migliaia di certificati SSL rilasciati a nomi non qualificati e certificati SSL non autorizzati emessi per CIA, MI6, Mossad e molte altre storie come quelle che mostrano problemi con l'implementazione corrente di siti Web protetti con SSL che potrebbero essere risolti da DNSSEC (vedi: A Importante pietra miliare di Internet: DNSSEC e SSL e DNSSEC per correggere il pasticcio SSL? E la convalida del certificato SSL e DNSSEC ). Tutto era sulla buona strada per avere finalmente un sistema DNS sicuro in atto.
E ora più di 2 anni dopo volevo solo fare quello che tutti dicevano che avrei dovuto fare: usare DNSSEC per un nuovo dominio. Quindi ho bisogno di un registrar di domini e di un servizio di hosting DNS che supporti DNSSEC. Sorprendentemente non è così facile nemmeno scoprire chi supporta DNSSEC e fino a che punto. In realtà è stato molto più facile trovare informazioni su DNSSEC due anni fa quando tutti avrebbero supportato DNSSEC Real Soon Now Ora ma ora sono passati anni e non vedo quasi alcun progresso. Spero solo che stavo solo cercando nei posti sbagliati e qualcuno qui spiegherà gentilmente tutti i dubbi.
Spero che anche altre persone che desiderano avere un sito Web sicuro troveranno utile questa domanda.
Ciò che è necessario
- registrar e server DNS con pieno supporto DNSSEC per i
.comdomini - integrazione di DNSSEC con certificati SSL
Ciò che non è necessario
- Supporto IPv6
- web hosting
- niente di più
Quello che ho scoperto finora
- Go Daddy offre un servizio DNS Premium per ulteriori $ 36 all'anno che ti consente di "Proteggere fino a 5 domini con DNSSEC".
- easyDNS ha DNSSEC disponibile in Beta per tutti i livelli di servizio (è necessario abilitare il flag "beta" nella configurazione) ma non sembra essere pronto per la produzione e, a giudicare dalla mancanza di aggiornamenti, non è una caratteristica della massima priorità ( l' ultimo aggiornamento da marzo 2011 sul blog easyDNS).
- Name.com - secondo The Register ( il registrar di domini statunitensi fa IPv6, DNSSEC ) ha il supporto DNSSEC dal 2010 ma in questo momento (ottobre 2012) non sono riuscito a trovare nulla relativo a DNSSEC sul loro sito web.
- Dynadot molto spesso raccomandato non supporta DNSSEC
- Namecheap che è anche spesso raccomandato non supporta DNSSEC. La risposta di supporto del 2011 ha suggerito che sarebbe stata aggiunta, ma nel 2012 non è stato ancora dato l'ETA ai clienti .
- DynDNS avrebbe dovuto supportare DNSSEC, ho trovato un link che spiega il supporto DNSSEC ma fornisce 404 pagina non trovata e offre una casella di ricerca - durante la ricerca di DNSSEC ottengo "Nessun risultato trovato per la tua query".
- GKG è stato raccomandato online per il supporto DNSSEC, ma è difficile trovare informazioni sul livello del supporto DNSSEC: c'è una breve spiegazione su cosa sia DNSSEC e su come firmare i record del firmatario della delegazione nelle loro FAQ, ma nessuna informazione sul livello di supporto effettivo può Essere trovato.
- Chiedi a Slashdot: quali registrar supportano DNSSEC? da luglio 2011 - Elenco risposte Vai Daddy, DynDNS, GKG, Name.com come registrar che supportano DNSSEC ma: vedi sopra .
- Registrar che supportano la gestione DNSSEC dell'utente finale, inclusa l'immissione di record DS da parte di ICANN (grazie a Rob per avermelo ricordato ) - il problema con questo elenco è che il livello di supporto è sconosciuto, il fatto se si debba pagare per DNSSEC aggiuntivo le commissioni non sono menzionate, per non parlare della comodità di acquistare, configurare e ospitare domini completamente protetti con DNSSEC e SSL.
- Elenco di registratori .ORG che hanno superato OT&E per DNSSEC pubblicato dal Registro degli interessi pubblici - molti registrar ma elencati per il
.orgsupporto TLD e come si dice: "Ciò non indica se il registrar ha abilitato un servizio DNSSEC per i dichiaranti Si prega di contattare direttamente i registrar per il loro servizio DNSSEC. " - Come proteggere e firmare il tuo dominio con DNSSEC L'utilizzo di registrar di domini da parte della Internet Society (grazie a Nick per averlo sottolineato) attualmente ne elenca solo due che supportano
.comTLD nell'elenco di "Registrar che supportano DNSSEC per la registrazione e l'hosting", ad es. Go Daddy (con un costo aggiuntivo di $ 36 / anno) e Dyn (con un costo aggiuntivo di $ 330 / anno) . Vedi Come firmare il tuo dominio con DNSSEC usando Dyn, Inc e come firmare il tuo dominio con DNSSEC usando GoDaddy.com per i dettagli.
Domande correlate
- Come trovare un web hosting che soddisfi le mie esigenze?
- Cosa è necessario per aggiungere DNSSEC al mio sito?
- Hosting DNS gestito meglio dal provider di dominio o dal provider di hosting?
- Registrar con buona sicurezza, hosting DNS e resolver DNSSEC e IPv6?
Nel n. 1 nessuno menziona mai DNS. Nel n. 2 risposte menzionano solo il .seTLD, ci sono pochissime risposte e sembrano molto obsolete. Nel n. 3 una risposta dice "Sui progetti che richiedono maggiore sicurezza, potrei cercare un host web che supporti DNSSEC" ma non vengono fornite ulteriori informazioni.
Le uniche risposte rilevanti sono nel n. 4 dove easyDNS è raccomandato da qualcuno che non li ha mai usati personalmente. Nel frattempo, a partire da ottobre 2012, il supporto di DNSSEC è descritto come "in beta" nell'elenco delle funzionalità di easyDNS . Un altro consiglia SiteGround ma la ricerca del DNSSEC nel loro sito non restituisce risultati. Altre risposte raccomandano i provider di web hosting che non soddisfano i requisiti del supporto DNSSEC. Anche la domanda sopra menzionata elenca 9 requisiti molto specifici diversi dal solo DNSSEC (come ad es. Cookie di accesso solo HTTP, autenticazioni a due fattori, nessun limite di record DNS, statistiche DNS di query / giorno, audit trail ecc.) Che potrebbero aver escluso molte possibili raccomandazioni se si è interessati solo al supporto DNSSEC.
conclusioni
È possibile che il pioniere dell'adozione di DNSSEC sia Go Daddy e che tutti i servizi DNS "esperti" non siano ancora pronti?
Ho pensato che entro la fine del 2012 il supporto di DNSSEC tra registrar di domini e provider DNS sarebbe stato quasi universale. Sono scioccato dal fatto che il supporto sembra praticamente inesistente. È questo il risultato di alcuni seri problemi con l'adozione del DNSSEC? O non è solo un argomento caldo e nessuno si preoccupa più? Secondo il quadro di valutazione DNSSEC, circa lo 0,1% dei .comdomini supporta DNSSEC. Ciò potrebbe essere causato dalla mancanza del supporto DNSSEC tra registrar e provider DNS, le informazioni sono troppo difficili da trovare o forse a nessuno importa? Non c'è nemmeno un tag "dnssec" qui.
Sommario
L'informazione è sorprendentemente difficile da trovare. Ecco perché chiedo esperienza diretta e consigli personali.
Qualcuno qui ha effettivamente creato un sito Web con DNSSEC, dalla registrazione del dominio alla configurazione dei server DNS, fino a disporre di un sito Web funzionante completamente protetto con DNSSEC?
Qualcuno ha integrato con successo DNSSEC con i certificati SSL per assicurarsi che solo il certificato giusto potesse essere convalidato dal browser e che tutti i certificati o certificati SSL non validi per nomi non qualificati sarebbero stati respinti?
Qualcuno può raccomandare uno dei registrar di cui sopra?
Qualcuno può raccomandare qualsiasi registrar non menzionato sopra?
Qualche bella esperienza? Brutta esperienza?
xxx.yyycon il tuo dominio nel link. Tuttavia, quella pagina riporta due errori per me: 1. Nessun record DNSKEY supportato è stato trovato in DNS. Questo di solito significa che i server dei nomi non sono configurati correttamente per DNSSEC. e 2. Nessun record DNSSEC trovato nel registro. Ciò significa che il tuo dominio non è configurato correttamente per DNSSEC.