Masalah yang disederhanakan
Saya ingin membeli domain dan membuat situs web yang sepenuhnya diamankan dengan DNSSEC .
Saya ingin memastikan bahwa hanya sertifikat SSL yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak.
Di mana saya bisa membeli domain? Bagaimana saya harus membeli sertifikat? (Atau haruskah saya menggunakan sertifikat yang ditandatangani sendiri dengan DNSSEC dan bukan CA?) Di mana saya dapat meng-host DNS? Penyedia mana yang membuat keseluruhan proses menjadi paling nyaman, paling terjangkau, paling lengkap, paling profesional, paling kuat, paling aman?
Latar Belakang
Saya telah mendengar tentang ketidakamanan DNS selama bertahun-tahun. Saya telah menyaksikan semua pembicaraan oleh Dan Kaminsky dan lainnya dari eksploitasi DNS ke Masa Depan Panel Keamanan DNS . Saya tahu bahwa menggunakan DNS tanpa keamanan adalah bencana yang menunggu untuk terjadi. Saya mengikuti pengembangan standar DNSSEC. Saya merayakan upacara penandatanganan kunci .
Sementara itu saya membaca tentang Ribuan Sertifikat SSL Dikeluarkan Untuk Nama Tidak Berkualitas dan Rogue Sertifikat SSL Dikeluarkan Untuk CIA, MI6, Mossad dan banyak kisah lain seperti itu yang menunjukkan masalah dengan implementasi situs web yang saat ini diamankan dengan SSL yang dapat diselesaikan oleh DNSSEC (lihat: A Tonggak Internet Besar: DNSSEC dan SSL dan DNSSEC untuk memperbaiki kekacauan SSL? Dan validasi sertifikat SSL dan DNSSEC ). Semuanya ada di jalur yang benar untuk akhirnya memiliki sistem DNS yang aman.
Dan sekarang lebih dari 2 tahun kemudian saya ingin melakukan apa yang semua orang katakan harus saya lakukan: gunakan DNSSEC untuk domain baru. Jadi saya memerlukan pendaftar domain dan layanan hosting DNS yang mendukung DNSSEC. Anehnya tidak mudah untuk mengetahui siapa yang mendukung DNSSEC dan sejauh mana. Sebenarnya jauh lebih mudah untuk menemukan info tentang DNSSEC dua tahun lalu ketika semua orang akan segera mendukung DNSSEC Real Now, tetapi sekarang bertahun-tahun berlalu dan saya hampir tidak melihat adanya kemajuan yang dilakukan. Saya hanya berharap bahwa saya hanya melihat di tempat yang salah dan seseorang di sini dengan ramah akan menjelaskan semua keraguan.
Saya harap orang lain yang ingin memiliki situs web yang aman juga akan menemukan pertanyaan ini bermanfaat.
Apa yang dibutuhkan
- registrar dan server DNS dengan dukungan penuh DNSSEC untuk
.com
domain - integrasi DNSSEC dengan sertifikat SSL
Apa yang tidak dibutuhkan
- Dukungan IPv6
- Hosting web
- Apapun lagi
Apa yang saya temukan sejauh ini
- Go Daddy menawarkan layanan DNS Premium dengan tambahan $ 36 per tahun yang memungkinkan Anda "Mengamankan hingga 5 domain dengan DNSSEC".
- easyDNS memiliki DNSSEC yang tersedia dalam Beta di semua tingkat layanan (Anda perlu mengaktifkan bendera "beta" dalam konfigurasi) tetapi tampaknya tidak siap produksi dan menilai dari kurangnya pembaruan, itu bukan fitur prioritas tertinggi ( yang update terakhir dari Maret 2011 di EasyDNS blog).
- Name.com - menurut The Register ( pendaftar domain AS melakukan IPv6, DNSSEC ) memiliki dukungan DNSSEC sejak 2010 tetapi sekarang (Oktober 2012) saya tidak dapat menemukan apa pun yang berhubungan dengan DNSSEC di situs web mereka.
- Dynadot yang sangat sering direkomendasikan tidak mendukung DNSSEC
- Namecheap yang juga sering direkomendasikan tidak mendukung DNSSEC. The dukungan jawaban dari 2011 menyarankan bahwa itu ditambahkan tetapi pada tahun 2012 masih ada ETA diberikan kepada pelanggan .
- DynDNS seharusnya mendukung DNSSEC, saya menemukan tautan yang menjelaskan dukungan DNSSEC tetapi memberikan 404 Tidak Ditemukan halaman dan menawarkan kotak pencarian - ketika mencari DNSSEC saya mendapatkan "Tidak ada hasil yang ditemukan untuk permintaan Anda."
- GKG direkomendasikan online untuk dukungan DNSSEC tetapi sulit untuk menemukan informasi tentang tingkat dukungan DNSSEC - ada penjelasan singkat tentang apa itu DNSSEC dan bagaimana cara menandatangani catatan Penandatangan Delegasi dalam FAQ mereka tetapi tidak ada informasi tentang tingkat dukungan aktual yang dapat ditemukan.
- Tanyakan Slashdot: Pencatat mana yang Mendukung DNSSEC? dari Juli 2011 - Daftar jawaban Buka Ayah, DynDNS, GKG, Name.com sebagai pendaftar yang mendukung DNSSEC tetapi: lihat di atas .
- Pendaftar yang mendukung manajemen pengguna DNSSEC pengguna akhir, termasuk entri catatan DS oleh ICANN (terima kasih kepada Rob untuk mengingatkan saya tentang hal itu ) - masalah dengan daftar ini adalah bahwa tingkat dukungan tidak diketahui, fakta apakah Anda harus membayar DNSSEC tambahan biaya tidak disebutkan, apalagi kenyamanan membeli, mengonfigurasi dan hosting domain yang sepenuhnya dijamin dengan DNSSEC dan SSL.
- Daftar .ORG Pendaftar yang telah lulus OT&E untuk DNSSEC yang diterbitkan oleh Public Interest Registry - banyak pendaftar tetapi mereka terdaftar untuk
.org
dukungan TLD dan seperti yang mereka katakan: "Ini tidak menunjukkan apakah pendaftar telah mengaktifkan layanan DNSSEC untuk pendaftar Silakan hubungi pendaftar langsung untuk layanan DNSSEC mereka. " - Cara Mengamankan Dan Menandatangani Domain Anda Dengan DNSSEC Menggunakan Pendaftar Domain oleh Internet Society (terima kasih kepada Nick karena menunjukkannya) saat ini hanya mencantumkan dua yang mendukung
.com
TLD pada daftar "Pendaftar yang Mendukung DNSSEC Untuk Registrasi dan Hosting" yaitu. Go Daddy (dengan biaya tambahan $ 36 / tahun) dan Dyn (dengan biaya tambahan $ 330 / tahun) . Lihat Cara Menandatangani Domain Anda Dengan DNSSEC Menggunakan Dyn, Inc dan Cara Menandatangani Domain Anda Dengan DNSSEC Menggunakan GoDaddy.com untuk detailnya.
Pertanyaan-pertanyaan Terkait
- Bagaimana menemukan web hosting yang memenuhi persyaratan saya?
- Apa yang diperlukan untuk menambahkan DNSSEC ke situs saya?
- Hosting DNS dikelola lebih baik oleh penyedia Domain atau penyedia Hosting?
- Registrar dengan keamanan yang baik, hosting DNS, dan resolver DNSSEC dan IPv6?
Dalam no. 1 tidak ada yang menyebut DNS sama sekali. Dalam no. 2 jawaban hanya menyebutkan .se
TLD, ada sangat sedikit jawaban dan mereka tampaknya sangat ketinggalan jaman. Dalam no. 3 satu jawaban mengatakan "Pada proyek yang menuntut keamanan yang lebih tinggi, saya mungkin mencari host web yang mendukung DNSSEC" tetapi tidak ada informasi lebih lanjut yang disediakan.
Satu-satunya jawaban yang relevan adalah dalam no. 4 di mana easyDNS direkomendasikan oleh seseorang yang belum pernah menggunakannya secara pribadi. Sementara itu, pada Oktober 2012, dukungan DNSSEC digambarkan sebagai "dalam versi beta" pada daftar fitur easyDNS . Yang lain merekomendasikan SiteGround tetapi mencari situs mereka untuk DNSSEC tidak menghasilkan apa-apa. Jawaban lain merekomendasikan penyedia hosting web yang tidak memenuhi persyaratan dukungan DNSSEC. Juga pertanyaan yang disebutkan di atas mencantumkan 9 persyaratan yang sangat spesifik selain hanya DNSSEC (seperti cookie masuk HTTP saja, otentikasi dua faktor, tidak ada batasan catatan DNS, statistik DNS kueri / hari, jalur audit, dll.) Yang mungkin telah dikecualikan banyak rekomendasi yang mungkin jika seseorang hanya tertarik pada dukungan DNSSEC.
Kesimpulan
Apakah mungkin pelopor adopsi DNSSEC adalah Go Daddy dan semua layanan DNS "ahli" belum siap?
Saya berpikir bahwa pada akhir 2012, dukungan DNSSEC di antara pendaftar domain dan penyedia DNS akan menjadi hampir universal. Saya terkejut bahwa dukungan tersebut tampaknya tidak ada. Apakah ini akibat dari beberapa masalah serius dengan adopsi DNSSEC? Atau apakah itu bukan topik hangat dan tidak ada yang mengganggu lagi? Menurut Papan Skor DNSSEC kira-kira sekitar 0,1% dari .com
domain mendukung DNSSEC. Mungkinkah itu disebabkan oleh kurangnya dukungan DNSSEC di antara para pendaftar dan penyedia DNS, apakah informasinya terlalu sulit untuk ditemukan atau mungkin tidak ada yang peduli? Bahkan tidak ada tag "dnssec" di sini.
Ringkasan
Informasi ini sangat sulit ditemukan. Itulah sebabnya saya meminta pengalaman langsung dan rekomendasi pribadi.
Adakah orang di sini yang benar-benar membuat situs web dengan DNSSEC, dari pendaftaran domain hingga konfigurasi server DNS, hingga benar-benar memiliki situs web yang berfungsi yang sepenuhnya diamankan dengan DNSSEC?
Adakah yang berhasil mengintegrasikan DNSSEC dengan sertifikat SSL untuk memastikan bahwa hanya satu sertifikat yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak?
Adakah yang bisa merekomendasikan pendaftar yang disebutkan di atas?
Adakah yang bisa merekomendasikan registrar yang tidak disebutkan di atas?
Adakah pengalaman bagus? Pengalaman buruk?
xxx.yyy
dengan domain Anda di tautan. Namun, halaman itu melaporkan dua kesalahan untuk saya: 1. Tidak ada catatan DNSKEY yang didukung ditemukan di DNS. Ini biasanya berarti bahwa server nama Anda tidak dikonfigurasikan dengan benar untuk DNSSEC. dan 2. Tidak ada catatan DNSSEC yang ditemukan di registri. Ini berarti bahwa domain Anda tidak dikonfigurasi dengan benar untuk DNSSEC.Jawaban:
Situs web ini: https://pointless.net/
Apakah dnssec ditandatangani dan menggunakan catatan TLSA ( RFC6698 ) untuk mengamankan sertifikat SSL (Yang juga ditandatangani oleh CA CERT , semacam web sumber terbuka kepercayaan CA).
Saya menjalankan server nama saya sendiri dan menggunakan Easydns sebagai pendaftar saya - namun Easydns tidak mendukung menempatkan catatan DS di zona .net jadi saya menggunakan layanan Validasi Domain Lookaside (DLV) ISC Domain sebagai jangkar kepercayaan, yang gratis dan digunakan oleh mayoritas resolver DNSSEC memvalidasi. Saya juga menggunakan gkg.net untuk beberapa domain lain dan mereka mendukung DNSSEC dengan benar.
Saat ini tidak ada browser web (sejauh yang saya ketahui) memiliki dukungan asli untuk memvalidasi catatan TLSA namun Anda bisa mendapatkan add-on validasi TLSA untuk firefox, tetapi itu tergantung pada beberapa pencarian dns.
Saya melakukan pembicaraan tentang DNSSEC dan hal-hal terkait di EMFCamp Hackercamp musim panas ini, catatan dan dump tautan saya ada di wiki EMFCamp .
NB Jika Anda membaca ini dan berpikir DNSSEC dan TLSA adalah buang-buang waktu maka bacalah makalah ini tentang bagaimana Great Firewall of China Kebocoran .
Jadi untuk menjawab pertanyaan ringkasan Anda:
Iya
Iya
gkg.net
dlv.isc.org, walaupun ini bukan registrar, ini memungkinkan Anda bekerja di sekitar pendaftar yang tidak mendukung dnssec.
pelajaran yang didapat:
pembaruan:
Ini adalah ringkasan yang bagus dari kondisi permainan saat ini
pembaruan 13 Des 2012:
Saya sekarang menggunakan gkg.net untuk semua domain saya. Saya masih juga menggunakan layanan isc dlv, tapi saya tidak benar-benar membutuhkannya lagi.
perbarui 15 Sep 2014
Saya sekarang menggunakan gandi.net
sumber
Saya tidak memiliki pengalaman pribadi dengan DNSSEC sehingga tidak dapat membuat rekomendasi, tetapi tautan dari situs ICANN ini menunjukkan daftar pendaftar saat ini yang telah melaporkan dukungan untuk DNSSEC:
http://www.icann.org/en/news/in-focus/dnssec/deployment
sumber