Vấn đề đơn giản hóa
Tôi muốn mua một tên miền và tạo một trang web được bảo mật hoàn toàn với DNSSEC .
Tôi muốn đảm bảo rằng chỉ có một chứng chỉ SSL đúng có thể được xác nhận bởi các trình duyệt và tất cả các chứng chỉ hoặc chứng chỉ SSL giả mạo cho các tên không đủ tiêu chuẩn sẽ bị từ chối.
Tôi có thể mua tên miền ở đâu? Tôi nên mua chứng chỉ nào? (Hoặc tôi nên sử dụng chứng chỉ tự ký với DNSSEC thay vì CA?) Tôi có thể lưu trữ DNS ở đâu? Những nhà cung cấp nào làm cho toàn bộ quá trình thuận tiện nhất, giá cả phải chăng nhất, đầy đủ nhất, chuyên nghiệp nhất, mạnh mẽ nhất, an toàn nhất?
Lý lịch
Tôi đã nghe về sự không an toàn của DNS trong nhiều năm. Tôi đã xem tất cả các cuộc đàm phán của Dan Kaminsky và những người khác từ khai thác DNS đến Tương lai của Bảng điều khiển bảo mật DNS . Tôi biết rằng sử dụng DNS mà không có bảo mật là một thảm họa đang chờ xảy ra. Tôi theo dõi sự phát triển của tiêu chuẩn DNSSEC. Tôi tổ chức lễ ký kết quan trọng .
Trong khi đó, tôi đã đọc về hàng ngàn các SSL SSL được cấp cho các tên không đủ tiêu chuẩn và các SSL SSL giả được phát hành cho CIA, MI6, Mossad và nhiều câu chuyện khác giống như những vấn đề với việc triển khai các trang web được bảo mật bằng SSL có thể được giải quyết bởi DNSSEC (xem: A Cột mốc Internet lớn: DNSSEC và SSL và DNSSEC để khắc phục tình trạng lộn xộn SSL? Và xác thực chứng chỉ SSL và DNSSEC ). Mọi thứ đã đi đúng hướng để cuối cùng có một hệ thống DNS an toàn.
Và bây giờ hơn 2 năm sau tôi chỉ muốn làm những gì mọi người nói tôi nên làm: sử dụng DNSSEC cho một tên miền mới. Vì vậy, tôi cần một công ty đăng ký tên miền và dịch vụ lưu trữ DNS hỗ trợ DNSSEC. Đáng ngạc nhiên là thậm chí không dễ để tìm ra ai hỗ trợ DNSSEC và ở mức độ nào. Thực sự dễ dàng hơn nhiều để tìm thông tin về DNSSEC hai năm trước khi mọi người sẽ hỗ trợ DNSSEC Real Soon Now nhưng bây giờ đã nhiều năm trôi qua và tôi hầu như không thấy bất kỳ tiến triển nào được thực hiện. Tôi chỉ hy vọng rằng tôi chỉ nhìn nhầm chỗ và ai đó ở đây sẽ vui lòng giải thích tất cả những nghi ngờ.
Tôi hy vọng rằng những người khác muốn có một trang web an toàn cũng sẽ thấy câu hỏi này hữu ích.
Những gì cần thiết
- nhà đăng ký và máy chủ DNS có hỗ trợ DNSSEC đầy đủ cho
.com
các miền - tích hợp DNSSEC với chứng chỉ SSL
Những gì không cần thiết
- Hỗ trợ IPv6
- web hosting
- còn gì nữa không
Những gì tôi phát hiện ra cho đến nay
- Go Daddy cung cấp dịch vụ DNS Premium với giá thêm 36 đô la mỗi năm cho phép bạn "Bảo mật tối đa 5 tên miền với DNSSEC".
- easyDNS có sẵn DNSSEC trong Beta ở tất cả các cấp dịch vụ (bạn cần bật cờ "beta" trong cấu hình) nhưng dường như nó chưa sẵn sàng để sản xuất và đánh giá từ việc thiếu cập nhật, đây không phải là một tính năng ưu tiên cao nhất ( các cập nhật mới nhất từ tháng 3 năm 2011 trên easyDNS viết blog).
- Name.com - theo Đăng ký (công ty đăng ký tên miền Hoa Kỳ có IPv6, DNSSEC ), nó có hỗ trợ DNSSEC từ năm 2010 nhưng ngay bây giờ (tháng 10 năm 2012) tôi không thể tìm thấy bất cứ điều gì liên quan đến DNSSEC trên trang web của họ.
- Dynadot thường được đề xuất không hỗ trợ DNSSEC
- Namecheap thường được đề xuất không hỗ trợ DNSSEC. Các câu trả lời hỗ trợ từ năm 2011 cho thấy rằng nó đã được thêm vào nhưng năm 2012 vẫn không có ETA được trao cho khách hàng .
- DynDNS được cho là hỗ trợ DNSSEC, tôi đã tìm thấy một liên kết giải thích về hỗ trợ DNSSEC nhưng nó cung cấp trang 404 Không tìm thấy và cung cấp hộp tìm kiếm - khi tìm kiếm DNSSEC tôi nhận được "Không tìm thấy kết quả nào cho truy vấn của bạn."
- GKG được đề xuất trực tuyến cho hỗ trợ DNSSEC nhưng thật khó để tìm thấy bất kỳ thông tin nào về mức độ hỗ trợ DNSSEC - có một lời giải thích ngắn gọn về DNSSEC là gì và cách ký các hồ sơ Người ký ủy nhiệm trong Câu hỏi thường gặp của họ nhưng không có thông tin nào về mức độ hỗ trợ thực tế có thể được tìm thấy.
- Hỏi Slashdot: Nhà đăng ký nào hỗ trợ DNSSEC? từ tháng 7 năm 2011 - Danh sách câu trả lời Go Daddy, DynDNS, GKG, Name.com là các nhà đăng ký hỗ trợ DNSSEC nhưng: xem ở trên .
- Đăng ký mà hỗ trợ người dùng cuối quản lý DNSSEC, bao gồm cả nhập cảnh của hồ sơ DS bởi ICANN (nhờ Rob cho nhắc nhở tôi về điều đó ) - vấn đề với danh sách này là các mức hỗ trợ là không rõ, thực tế cho dù bạn phải trả tiền cho DNSSEC thêm phí không được đề cập, nói gì đến sự tiện lợi của việc mua, định cấu hình và lưu trữ tên miền được bảo mật hoàn toàn với DNSSEC và SSL.
- Danh sách các nhà đăng ký .ORG đã thông qua OT & E cho DNSSEC do Cơ quan đăng ký lợi ích công cộng công bố - rất nhiều nhà đăng ký nhưng họ được liệt kê để
.org
hỗ trợ TLD và như họ nói: "Điều này không cho biết liệu nhà đăng ký có kích hoạt dịch vụ DNSSEC cho người đăng ký không . Vui lòng liên hệ trực tiếp với các nhà đăng ký để nhận dịch vụ DNSSEC của họ. " - Cách bảo mật và ký tên miền của bạn với DNSSEC bằng cách đăng ký tên miền của Hiệp hội Internet (cảm ơn Nick đã chỉ ra) hiện chỉ liệt kê hai tên hỗ trợ
.com
TLD trong danh sách "Đăng ký hỗ trợ DNSSEC để đăng ký và lưu trữ" tức là. Go Daddy (với một khoản phí bổ sung là 36 đô la / năm) và Dyn (với một khoản phí bổ sung là 330 đô la / năm) . Xem Cách ký tên miền của bạn với DNSSEC bằng Dyn, Inc và Cách ký tên miền của bạn với DNSSEC bằng GoDaddy.com để biết chi tiết.
Câu hỏi liên quan
- Làm thế nào để tìm thấy lưu trữ web đáp ứng yêu cầu của tôi?
- Điều gì là cần thiết để thêm DNSSEC vào trang web của tôi?
- Lưu trữ DNS được quản lý tốt hơn bởi nhà cung cấp tên miền hoặc nhà cung cấp Hosting?
- Nhà đăng ký có bảo mật tốt, lưu trữ DNS và trình phân giải DNSSEC và IPv6?
Trong không. 1 không ai được nhắc đến DNS cả. Trong không. 2 câu trả lời chỉ đề cập đến .se
TLD, có rất ít câu trả lời và chúng có vẻ rất lỗi thời. Trong không. 3 một câu trả lời cho biết "Trên các dự án đòi hỏi bảo mật cao hơn, tôi có thể tìm kiếm một máy chủ web hỗ trợ DNSSEC" nhưng không có thêm thông tin nào được cung cấp.
Các câu trả lời có liên quan là không. 4 nơi easyDNS được đề xuất bởi một người chưa bao giờ sử dụng chúng một cách cá nhân. Trong khi đó, kể từ tháng 10 năm 2012, sự hỗ trợ của DNSSEC được mô tả là "trong bản beta" trong danh sách tính năng easyDNS . Một số khác khuyến nghị SiteGround nhưng tìm kiếm trang web của họ cho DNSSEC không trả lại kết quả. Các câu trả lời khác đề nghị các nhà cung cấp dịch vụ lưu trữ web không đáp ứng yêu cầu hỗ trợ DNSSEC. Ngoài ra, câu hỏi được đề cập ở trên liệt kê 9 yêu cầu rất cụ thể, ngoài chỉ có DNSSEC (ví dụ: cookie đăng nhập chỉ HTTP, xác thực hai yếu tố, không giới hạn bản ghi DNS, thống kê DNS của truy vấn / ngày, đường dẫn kiểm toán, v.v.) có thể đã loại trừ nhiều khuyến nghị có thể nếu một người chỉ quan tâm đến hỗ trợ DNSSEC.
Kết luận
Có thể là người tiên phong áp dụng DNSSEC sẽ là Go Daddy và tất cả các dịch vụ DNS "chuyên gia" chưa sẵn sàng?
Tôi nghĩ rằng vào cuối năm 2012, sự hỗ trợ của DNSSEC giữa các nhà đăng ký tên miền và nhà cung cấp DNS sẽ gần như phổ biến. Tôi bị sốc vì sự hỗ trợ dường như không có. Đây có phải là kết quả của một số vấn đề nghiêm trọng với việc áp dụng DNSSEC không? Hay nó chỉ không phải là một chủ đề nóng và không ai bận tâm nữa? Theo Bảng điểm DNSSEC, khoảng 0,1% .com
tên miền hỗ trợ DNSSEC. Điều đó có thể được gây ra bởi sự thiếu hỗ trợ DNSSEC giữa các nhà đăng ký và nhà cung cấp DNS, là thông tin quá khó tìm hoặc có thể không ai quan tâm? Thậm chí không có thẻ "dnssec" ở đây.
Tóm lược
Thông tin là đáng ngạc nhiên khó tìm. Đó là lý do tại sao tôi yêu cầu kinh nghiệm trực tiếp và đề xuất cá nhân.
Có ai ở đây thực sự thiết lập một trang web với DNSSEC, từ đăng ký tên miền đến cấu hình máy chủ DNS, để thực sự có một trang web hoạt động được bảo mật hoàn toàn với DNSSEC?
Có ai đã tích hợp thành công DNSSEC với chứng chỉ SSL để đảm bảo rằng chỉ có một chứng chỉ đúng có thể được xác nhận bởi trình duyệt và tất cả các chứng chỉ hoặc chứng chỉ SSL giả mạo cho tên không đủ tiêu chuẩn sẽ bị từ chối?
Bất cứ ai có thể đề nghị bất kỳ đăng ký được đề cập ở trên?
Bất cứ ai có thể đề nghị bất kỳ đăng ký không được đề cập ở trên?
Có kinh nghiệm nào tốt không? Kinh nghiệm xấu?
xxx.yyy
bằng tên miền của bạn trong liên kết. Tuy nhiên, trang đó báo cáo hai lỗi cho tôi: 1. Không tìm thấy bản ghi DNSKEY được hỗ trợ nào trong DNS. Điều này thường có nghĩa là các máy chủ tên của bạn không được cấu hình đúng cho DNSSEC. và 2. Không có hồ sơ DNSSEC được tìm thấy tại cơ quan đăng ký. Điều này có nghĩa là tên miền của bạn không được cấu hình đúng cho DNSSEC.