Bagaimana menemukan pendaftar domain dan hosting DNS dengan dukungan DNSSEC yang baik?

17

Masalah yang disederhanakan

Saya ingin membeli domain dan membuat situs web yang sepenuhnya diamankan dengan DNSSEC .

Saya ingin memastikan bahwa hanya sertifikat SSL yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak.

Di mana saya bisa membeli domain? Bagaimana saya harus membeli sertifikat? (Atau haruskah saya menggunakan sertifikat yang ditandatangani sendiri dengan DNSSEC dan bukan CA?) Di mana saya dapat meng-host DNS? Penyedia mana yang membuat keseluruhan proses menjadi paling nyaman, paling terjangkau, paling lengkap, paling profesional, paling kuat, paling aman?

Latar Belakang

Saya telah mendengar tentang ketidakamanan DNS selama bertahun-tahun. Saya telah menyaksikan semua pembicaraan oleh Dan Kaminsky dan lainnya dari eksploitasi DNS ke Masa Depan Panel Keamanan DNS . Saya tahu bahwa menggunakan DNS tanpa keamanan adalah bencana yang menunggu untuk terjadi. Saya mengikuti pengembangan standar DNSSEC. Saya merayakan upacara penandatanganan kunci .

Sementara itu saya membaca tentang Ribuan Sertifikat SSL Dikeluarkan Untuk Nama Tidak Berkualitas dan Rogue Sertifikat SSL Dikeluarkan Untuk CIA, MI6, Mossad dan banyak kisah lain seperti itu yang menunjukkan masalah dengan implementasi situs web yang saat ini diamankan dengan SSL yang dapat diselesaikan oleh DNSSEC (lihat: A Tonggak Internet Besar: DNSSEC dan SSL dan DNSSEC untuk memperbaiki kekacauan SSL? Dan validasi sertifikat SSL dan DNSSEC ). Semuanya ada di jalur yang benar untuk akhirnya memiliki sistem DNS yang aman.

Dan sekarang lebih dari 2 tahun kemudian saya ingin melakukan apa yang semua orang katakan harus saya lakukan: gunakan DNSSEC untuk domain baru. Jadi saya memerlukan pendaftar domain dan layanan hosting DNS yang mendukung DNSSEC. Anehnya tidak mudah untuk mengetahui siapa yang mendukung DNSSEC dan sejauh mana. Sebenarnya jauh lebih mudah untuk menemukan info tentang DNSSEC dua tahun lalu ketika semua orang akan segera mendukung DNSSEC Real Now, tetapi sekarang bertahun-tahun berlalu dan saya hampir tidak melihat adanya kemajuan yang dilakukan. Saya hanya berharap bahwa saya hanya melihat di tempat yang salah dan seseorang di sini dengan ramah akan menjelaskan semua keraguan.

Saya harap orang lain yang ingin memiliki situs web yang aman juga akan menemukan pertanyaan ini bermanfaat.

Apa yang dibutuhkan

  • registrar dan server DNS dengan dukungan penuh DNSSEC untuk .comdomain
  • integrasi DNSSEC dengan sertifikat SSL

Apa yang tidak dibutuhkan

  • Dukungan IPv6
  • Hosting web
  • Apapun lagi

Apa yang saya temukan sejauh ini

Pertanyaan-pertanyaan Terkait

  1. Bagaimana menemukan web hosting yang memenuhi persyaratan saya?
  2. Apa yang diperlukan untuk menambahkan DNSSEC ke situs saya?
  3. Hosting DNS dikelola lebih baik oleh penyedia Domain atau penyedia Hosting?
  4. Registrar dengan keamanan yang baik, hosting DNS, dan resolver DNSSEC dan IPv6?

Dalam no. 1 tidak ada yang menyebut DNS sama sekali. Dalam no. 2 jawaban hanya menyebutkan .seTLD, ada sangat sedikit jawaban dan mereka tampaknya sangat ketinggalan jaman. Dalam no. 3 satu jawaban mengatakan "Pada proyek yang menuntut keamanan yang lebih tinggi, saya mungkin mencari host web yang mendukung DNSSEC" tetapi tidak ada informasi lebih lanjut yang disediakan.

Satu-satunya jawaban yang relevan adalah dalam no. 4 di mana easyDNS direkomendasikan oleh seseorang yang belum pernah menggunakannya secara pribadi. Sementara itu, pada Oktober 2012, dukungan DNSSEC digambarkan sebagai "dalam versi beta" pada daftar fitur easyDNS . Yang lain merekomendasikan SiteGround tetapi mencari situs mereka untuk DNSSEC tidak menghasilkan apa-apa. Jawaban lain merekomendasikan penyedia hosting web yang tidak memenuhi persyaratan dukungan DNSSEC. Juga pertanyaan yang disebutkan di atas mencantumkan 9 persyaratan yang sangat spesifik selain hanya DNSSEC (seperti cookie masuk HTTP saja, otentikasi dua faktor, tidak ada batasan catatan DNS, statistik DNS kueri / hari, jalur audit, dll.) Yang mungkin telah dikecualikan banyak rekomendasi yang mungkin jika seseorang hanya tertarik pada dukungan DNSSEC.

Kesimpulan

Apakah mungkin pelopor adopsi DNSSEC adalah Go Daddy dan semua layanan DNS "ahli" belum siap?

Saya berpikir bahwa pada akhir 2012, dukungan DNSSEC di antara pendaftar domain dan penyedia DNS akan menjadi hampir universal. Saya terkejut bahwa dukungan tersebut tampaknya tidak ada. Apakah ini akibat dari beberapa masalah serius dengan adopsi DNSSEC? Atau apakah itu bukan topik hangat dan tidak ada yang mengganggu lagi? Menurut Papan Skor DNSSEC kira-kira sekitar 0,1% dari .comdomain mendukung DNSSEC. Mungkinkah itu disebabkan oleh kurangnya dukungan DNSSEC di antara para pendaftar dan penyedia DNS, apakah informasinya terlalu sulit untuk ditemukan atau mungkin tidak ada yang peduli? Bahkan tidak ada tag "dnssec" di sini.

Ringkasan

Informasi ini sangat sulit ditemukan. Itulah sebabnya saya meminta pengalaman langsung dan rekomendasi pribadi.

Adakah orang di sini yang benar-benar membuat situs web dengan DNSSEC, dari pendaftaran domain hingga konfigurasi server DNS, hingga benar-benar memiliki situs web yang berfungsi yang sepenuhnya diamankan dengan DNSSEC?

Adakah yang berhasil mengintegrasikan DNSSEC dengan sertifikat SSL untuk memastikan bahwa hanya satu sertifikat yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak?

Adakah yang bisa merekomendasikan pendaftar yang disebutkan di atas?

Adakah yang bisa merekomendasikan registrar yang tidak disebutkan di atas?

Adakah pengalaman bagus? Pengalaman buruk?

rsp
sumber
Pertanyaan bagus Saya tidak dapat menawarkan rekomendasi pribadi, tetapi daftar dari PIR ini menampilkan grup penyedia DNSSEC terkini, beberapa di antaranya belum disebutkan dalam daftar Anda sejauh ini. Internet Society juga memiliki panduan tentang penandatanganan domain dengan DNSSEC dengan jumlah pendaftar yang kecil namun terus bertambah.
Nick
Seharusnya disebutkan bahwa semua panduan Internet Society menyebutkan harga, jadi mereka cukup berguna. Tampaknya DNSSEC adalah layanan premium di antara semua pendaftar saat ini.
Nick
Terima kasih @Nick Saya telah menambahkan informasi dari tautan Anda ke pertanyaan.
rsp
1
Daftar ini ( frankb.us/dns ) server sekunder / budak gratis (dengan indikasi apakah mereka mendukung DNSSEC) tampaknya seperti titik awal yang berguna jika Anda memutuskan bahwa membayar Dyn Inc. $ 30 / bulan terlalu mahal untuk satu atau dua domain, dan Anda hanya tidak ingin pergi ke sana dengan GoDaddy, tetapi lebih suka menggulung layanan DNS sendiri dengan beberapa cadangan jarak jauh (yang mungkin akan saya lakukan untuk domain pribadi saya, meskipun saya mungkin akan menggunakan Dyn Inc. untuk komersial proyek). Ketika saya mengaturnya, saya akan menuliskan pengalaman saya dalam jawaban di sini.
Alex Dupuy
Saya memiliki domain .info dari Name.com. Mereka memiliki halaman terpisah sekarang untuk manajemen DNSSEC. Ganti xxx.yyydengan domain Anda di tautan. Namun, halaman itu melaporkan dua kesalahan untuk saya: 1. Tidak ada catatan DNSKEY yang didukung ditemukan di DNS. Ini biasanya berarti bahwa server nama Anda tidak dikonfigurasikan dengan benar untuk DNSSEC. dan 2. Tidak ada catatan DNSSEC yang ditemukan di registri. Ini berarti bahwa domain Anda tidak dikonfigurasi dengan benar untuk DNSSEC.
HRJ

Jawaban:

7

Situs web ini: https://pointless.net/

Apakah dnssec ditandatangani dan menggunakan catatan TLSA ( RFC6698 ) untuk mengamankan sertifikat SSL (Yang juga ditandatangani oleh CA CERT , semacam web sumber terbuka kepercayaan CA).

Saya menjalankan server nama saya sendiri dan menggunakan Easydns sebagai pendaftar saya - namun Easydns tidak mendukung menempatkan catatan DS di zona .net jadi saya menggunakan layanan Validasi Domain Lookaside (DLV) ISC Domain sebagai jangkar kepercayaan, yang gratis dan digunakan oleh mayoritas resolver DNSSEC memvalidasi. Saya juga menggunakan gkg.net untuk beberapa domain lain dan mereka mendukung DNSSEC dengan benar.

Saat ini tidak ada browser web (sejauh yang saya ketahui) memiliki dukungan asli untuk memvalidasi catatan TLSA namun Anda bisa mendapatkan add-on validasi TLSA untuk firefox, tetapi itu tergantung pada beberapa pencarian dns.

Saya melakukan pembicaraan tentang DNSSEC dan hal-hal terkait di EMFCamp Hackercamp musim panas ini, catatan dan dump tautan saya ada di wiki EMFCamp .

NB Jika Anda membaca ini dan berpikir DNSSEC dan TLSA adalah buang-buang waktu maka bacalah makalah ini tentang bagaimana Great Firewall of China Kebocoran .

Jadi untuk menjawab pertanyaan ringkasan Anda:

Adakah orang di sini yang benar-benar membuat situs web dengan DNSSEC, dari pendaftaran domain hingga konfigurasi server DNS, hingga benar-benar memiliki situs web yang berfungsi yang sepenuhnya diamankan dengan DNSSEC?

Iya

Adakah yang berhasil mengintegrasikan DNSSEC dengan sertifikat SSL untuk memastikan bahwa hanya satu sertifikat yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak?

Iya

Adakah yang bisa merekomendasikan pendaftar yang disebutkan di atas?

gkg.net

Adakah yang bisa merekomendasikan registrar yang tidak disebutkan di atas?

dlv.isc.org, walaupun ini bukan registrar, ini memungkinkan Anda bekerja di sekitar pendaftar yang tidak mendukung dnssec.

Adakah pengalaman bagus? Pengalaman buruk?

pelajaran yang didapat:

  • Jika Anda menjalankan server dns Anda sendiri, Anda harus menggunakan beberapa perangkat lunak untuk mengelola rollover kunci dnssec, saya menggunakan penandatangan zkt .
  • Anda tidak dapat memiliki bagian yang sama dari perangkat lunak server DNS menjadi server otoritatif dan penyelesai validasi - iklan dan a flag bentrokan, saya harus menghentikan server nama saya dari menjadi resolver, melepaskan ikatan dari localhost dan menggunakan unbound di localhost sebagai gantinya .

pembaruan:

Ini adalah ringkasan yang bagus dari kondisi permainan saat ini

pembaruan 13 Des 2012:

Saya sekarang menggunakan gkg.net untuk semua domain saya. Saya masih juga menggunakan layanan isc dlv, tapi saya tidak benar-benar membutuhkannya lagi.

perbarui 15 Sep 2014

Saya sekarang menggunakan gandi.net

JasperWallace
sumber
2

Saya tidak memiliki pengalaman pribadi dengan DNSSEC sehingga tidak dapat membuat rekomendasi, tetapi tautan dari situs ICANN ini menunjukkan daftar pendaftar saat ini yang telah melaporkan dukungan untuk DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment

rampok
sumber
Terima kasih. Saya sudah membaca daftar ini (saya lupa menyebutkannya dalam pertanyaan, mungkin saya akan menambahkannya untuk kelengkapan) tetapi masalah dengan daftar ini adalah bahwa level dukungan sama sekali tidak diketahui. Misalnya Go Daddy terdaftar tetapi tampaknya DNSSEC adalah fitur premium yang mengharuskan Anda membayar biaya tambahan dan saya tidak tahu cara kerjanya dalam praktiknya. Name.com terdaftar, DynDNS terdaftar, easyDNS terdaftar, tetapi lihat info di pertanyaan saya. Sulit untuk menemukan pendaftar mana yang sepenuhnya mendukung DNSSEC atau seberapa nyaman mereka membuatnya dan itu sebabnya saya bertanya tentang pengalaman pribadi.
rsp