Làm cách nào để tìm nhà đăng ký tên miền và lưu trữ DNS với sự hỗ trợ DNSSEC tốt?

Vấn đề đơn giản hóa

Tôi muốn mua một tên miền và tạo một trang web được bảo mật hoàn toàn với DNSSEC .

Tôi muốn đảm bảo rằng chỉ có một chứng chỉ SSL đúng có thể được xác nhận bởi các trình duyệt và tất cả các chứng chỉ hoặc chứng chỉ SSL giả mạo cho các tên không đủ tiêu chuẩn sẽ bị từ chối.

Tôi có thể mua tên miền ở đâu? Tôi nên mua chứng chỉ nào? (Hoặc tôi nên sử dụng chứng chỉ tự ký với DNSSEC thay vì CA?) Tôi có thể lưu trữ DNS ở đâu? Những nhà cung cấp nào làm cho toàn bộ quá trình thuận tiện nhất, giá cả phải chăng nhất, đầy đủ nhất, chuyên nghiệp nhất, mạnh mẽ nhất, an toàn nhất?

Lý lịch

Tôi đã nghe về sự không an toàn của DNS trong nhiều năm. Tôi đã xem tất cả các cuộc đàm phán của Dan Kaminsky và những người khác từ khai thác DNS đến Tương lai của Bảng điều khiển bảo mật DNS . Tôi biết rằng sử dụng DNS mà không có bảo mật là một thảm họa đang chờ xảy ra. Tôi theo dõi sự phát triển của tiêu chuẩn DNSSEC. Tôi tổ chức lễ ký kết quan trọng .

Trong khi đó, tôi đã đọc về hàng ngàn các SSL SSL được cấp cho các tên không đủ tiêu chuẩn và các SSL SSL giả được phát hành cho CIA, MI6, Mossad và nhiều câu chuyện khác giống như những vấn đề với việc triển khai các trang web được bảo mật bằng SSL có thể được giải quyết bởi DNSSEC (xem: A Cột mốc Internet lớn: DNSSEC và SSL và DNSSEC để khắc phục tình trạng lộn xộn SSL? Và xác thực chứng chỉ SSL và DNSSEC ). Mọi thứ đã đi đúng hướng để cuối cùng có một hệ thống DNS an toàn.

Và bây giờ hơn 2 năm sau tôi chỉ muốn làm những gì mọi người nói tôi nên làm: sử dụng DNSSEC cho một tên miền mới. Vì vậy, tôi cần một công ty đăng ký tên miền và dịch vụ lưu trữ DNS hỗ trợ DNSSEC. Đáng ngạc nhiên là thậm chí không dễ để tìm ra ai hỗ trợ DNSSEC và ở mức độ nào. Thực sự dễ dàng hơn nhiều để tìm thông tin về DNSSEC hai năm trước khi mọi người sẽ hỗ trợ DNSSEC Real Soon Now nhưng bây giờ đã nhiều năm trôi qua và tôi hầu như không thấy bất kỳ tiến triển nào được thực hiện. Tôi chỉ hy vọng rằng tôi chỉ nhìn nhầm chỗ và ai đó ở đây sẽ vui lòng giải thích tất cả những nghi ngờ.

Tôi hy vọng rằng những người khác muốn có một trang web an toàn cũng sẽ thấy câu hỏi này hữu ích.

Những gì cần thiết

nhà đăng ký và máy chủ DNS có hỗ trợ DNSSEC đầy đủ cho .comcác miền
tích hợp DNSSEC với chứng chỉ SSL

Những gì không cần thiết

Hỗ trợ IPv6
web hosting
còn gì nữa không

Những gì tôi phát hiện ra cho đến nay

Go Daddy cung cấp dịch vụ DNS Premium với giá thêm 36 đô la mỗi năm cho phép bạn "Bảo mật tối đa 5 tên miền với DNSSEC".
easyDNS có sẵn DNSSEC trong Beta ở tất cả các cấp dịch vụ (bạn cần bật cờ "beta" trong cấu hình) nhưng dường như nó chưa sẵn sàng để sản xuất và đánh giá từ việc thiếu cập nhật, đây không phải là một tính năng ưu tiên cao nhất ( các cập nhật mới nhất từ tháng 3 năm 2011 trên easyDNS viết blog).
Name.com - theo Đăng ký (công ty đăng ký tên miền Hoa Kỳ có IPv6, DNSSEC ), nó có hỗ trợ DNSSEC từ năm 2010 nhưng ngay bây giờ (tháng 10 năm 2012) tôi không thể tìm thấy bất cứ điều gì liên quan đến DNSSEC trên trang web của họ.
Dynadot thường được đề xuất không hỗ trợ DNSSEC
Namecheap thường được đề xuất không hỗ trợ DNSSEC. Các câu trả lời hỗ trợ từ năm 2011 cho thấy rằng nó đã được thêm vào nhưng năm 2012 vẫn không có ETA được trao cho khách hàng .
DynDNS được cho là hỗ trợ DNSSEC, tôi đã tìm thấy một liên kết giải thích về hỗ trợ DNSSEC nhưng nó cung cấp trang 404 Không tìm thấy và cung cấp hộp tìm kiếm - khi tìm kiếm DNSSEC tôi nhận được "Không tìm thấy kết quả nào cho truy vấn của bạn."
GKG được đề xuất trực tuyến cho hỗ trợ DNSSEC nhưng thật khó để tìm thấy bất kỳ thông tin nào về mức độ hỗ trợ DNSSEC - có một lời giải thích ngắn gọn về DNSSEC là gì và cách ký các hồ sơ Người ký ủy nhiệm trong Câu hỏi thường gặp của họ nhưng không có thông tin nào về mức độ hỗ trợ thực tế có thể được tìm thấy.
Hỏi Slashdot: Nhà đăng ký nào hỗ trợ DNSSEC? từ tháng 7 năm 2011 - Danh sách câu trả lời Go Daddy, DynDNS, GKG, Name.com là các nhà đăng ký hỗ trợ DNSSEC nhưng: xem ở trên .
Đăng ký mà hỗ trợ người dùng cuối quản lý DNSSEC, bao gồm cả nhập cảnh của hồ sơ DS bởi ICANN (nhờ Rob cho nhắc nhở tôi về điều đó ) - vấn đề với danh sách này là các mức hỗ trợ là không rõ, thực tế cho dù bạn phải trả tiền cho DNSSEC thêm phí không được đề cập, nói gì đến sự tiện lợi của việc mua, định cấu hình và lưu trữ tên miền được bảo mật hoàn toàn với DNSSEC và SSL.
Danh sách các nhà đăng ký .ORG đã thông qua OT & E cho DNSSEC do Cơ quan đăng ký lợi ích công cộng công bố - rất nhiều nhà đăng ký nhưng họ được liệt kê để .orghỗ trợ TLD và như họ nói: "Điều này không cho biết liệu nhà đăng ký có kích hoạt dịch vụ DNSSEC cho người đăng ký không . Vui lòng liên hệ trực tiếp với các nhà đăng ký để nhận dịch vụ DNSSEC của họ. "
Cách bảo mật và ký tên miền của bạn với DNSSEC bằng cách đăng ký tên miền của Hiệp hội Internet (cảm ơn Nick đã chỉ ra) hiện chỉ liệt kê hai tên hỗ trợ .comTLD trong danh sách "Đăng ký hỗ trợ DNSSEC để đăng ký và lưu trữ" tức là. Go Daddy (với một khoản phí bổ sung là 36 đô la / năm) và Dyn (với một khoản phí bổ sung là 330 đô la / năm) . Xem Cách ký tên miền của bạn với DNSSEC bằng Dyn, Inc và Cách ký tên miền của bạn với DNSSEC bằng GoDaddy.com để biết chi tiết.

Câu hỏi liên quan

Trong không. 1 không ai được nhắc đến DNS cả. Trong không. 2 câu trả lời chỉ đề cập đến .seTLD, có rất ít câu trả lời và chúng có vẻ rất lỗi thời. Trong không. 3 một câu trả lời cho biết "Trên các dự án đòi hỏi bảo mật cao hơn, tôi có thể tìm kiếm một máy chủ web hỗ trợ DNSSEC" nhưng không có thêm thông tin nào được cung cấp.

Các câu trả lời có liên quan là không. 4 nơi easyDNS được đề xuất bởi một người chưa bao giờ sử dụng chúng một cách cá nhân. Trong khi đó, kể từ tháng 10 năm 2012, sự hỗ trợ của DNSSEC được mô tả là "trong bản beta" trong danh sách tính năng easyDNS . Một số khác khuyến nghị SiteGround nhưng tìm kiếm trang web của họ cho DNSSEC không trả lại kết quả. Các câu trả lời khác đề nghị các nhà cung cấp dịch vụ lưu trữ web không đáp ứng yêu cầu hỗ trợ DNSSEC. Ngoài ra, câu hỏi được đề cập ở trên liệt kê 9 yêu cầu rất cụ thể, ngoài chỉ có DNSSEC (ví dụ: cookie đăng nhập chỉ HTTP, xác thực hai yếu tố, không giới hạn bản ghi DNS, thống kê DNS của truy vấn / ngày, đường dẫn kiểm toán, v.v.) có thể đã loại trừ nhiều khuyến nghị có thể nếu một người chỉ quan tâm đến hỗ trợ DNSSEC.

Kết luận

Có thể là người tiên phong áp dụng DNSSEC sẽ là Go Daddy và tất cả các dịch vụ DNS "chuyên gia" chưa sẵn sàng?

Tôi nghĩ rằng vào cuối năm 2012, sự hỗ trợ của DNSSEC giữa các nhà đăng ký tên miền và nhà cung cấp DNS sẽ gần như phổ biến. Tôi bị sốc vì sự hỗ trợ dường như không có. Đây có phải là kết quả của một số vấn đề nghiêm trọng với việc áp dụng DNSSEC không? Hay nó chỉ không phải là một chủ đề nóng và không ai bận tâm nữa? Theo Bảng điểm DNSSEC, khoảng 0,1% .comtên miền hỗ trợ DNSSEC. Điều đó có thể được gây ra bởi sự thiếu hỗ trợ DNSSEC giữa các nhà đăng ký và nhà cung cấp DNS, là thông tin quá khó tìm hoặc có thể không ai quan tâm? Thậm chí không có thẻ "dnssec" ở đây.

Tóm lược

Thông tin là đáng ngạc nhiên khó tìm. Đó là lý do tại sao tôi yêu cầu kinh nghiệm trực tiếp và đề xuất cá nhân.

Có ai ở đây thực sự thiết lập một trang web với DNSSEC, từ đăng ký tên miền đến cấu hình máy chủ DNS, để thực sự có một trang web hoạt động được bảo mật hoàn toàn với DNSSEC?

Có ai đã tích hợp thành công DNSSEC với chứng chỉ SSL để đảm bảo rằng chỉ có một chứng chỉ đúng có thể được xác nhận bởi trình duyệt và tất cả các chứng chỉ hoặc chứng chỉ SSL giả mạo cho tên không đủ tiêu chuẩn sẽ bị từ chối?

Bất cứ ai có thể đề nghị bất kỳ đăng ký được đề cập ở trên?

Bất cứ ai có thể đề nghị bất kỳ đăng ký không được đề cập ở trên?

Có kinh nghiệm nào tốt không? Kinh nghiệm xấu?

— rsp
nguồn

Câu hỏi tuyệt vời. Tôi không thể đưa ra đề xuất cá nhân, nhưng danh sách này từ Pir có một nhóm các nhà cung cấp DNSSEC cập nhật, một số người không được đề cập trong danh sách của bạn cho đến nay. Hiệp hội Internet cũng có một hướng dẫn về việc ký tên miền với DNSSEC với số lượng đăng ký nhỏ nhưng đang tăng lên.

— Nick

Nên đã đề cập rằng tất cả các hướng dẫn của Hiệp hội Internet đều đề cập đến giá cả, vì vậy chúng khá hữu ích. Có vẻ như DNSSEC là một dịch vụ cao cấp trong số tất cả các nhà đăng ký tại thời điểm này.

— Nick

Cảm ơn @Nick Tôi đã thêm thông tin từ các liên kết của bạn vào câu hỏi.

— rsp

Danh sách này ( frankb.us/dns ) của các máy chủ thứ cấp / nô lệ miễn phí (có dấu hiệu cho thấy họ có hỗ trợ DNSSEC không) có vẻ như là một điểm khởi đầu hữu ích nếu bạn quyết định rằng việc trả cho Dyn Inc. $ 30 / tháng là quá đắt đối với một hoặc hai tên miền và rằng bạn chỉ không muốn đến đó với GoDaddy, mà muốn tự mình cuộn các dịch vụ DNS với một số sao lưu từ xa (đó là những gì tôi có thể làm cho các tên miền cá nhân của mình, mặc dù tôi có thể sử dụng Dyn Inc. cho quảng cáo dự án). Khi tôi cài đặt xong, tôi sẽ viết ra những kinh nghiệm của mình trong câu trả lời ở đây.

— Alex Dupuy

Tôi có một tên miền .info từ Name.com. Bây giờ họ có một trang riêng để quản lý DNSSEC. Thay thế xxx.yyybằng tên miền của bạn trong liên kết. Tuy nhiên, trang đó báo cáo hai lỗi cho tôi: 1. Không tìm thấy bản ghi DNSKEY được hỗ trợ nào trong DNS. Điều này thường có nghĩa là các máy chủ tên của bạn không được cấu hình đúng cho DNSSEC. và 2. Không có hồ sơ DNSSEC được tìm thấy tại cơ quan đăng ký. Điều này có nghĩa là tên miền của bạn không được cấu hình đúng cho DNSSEC.

— HRJ

Trang web này: https://pointless.net/

Được dnssec ký và sử dụng bản ghi TLSA ( RFC6698 ) để bảo mật chứng chỉ SSL (cũng được ký bởi CA CERT , một loại web nguồn tin cậy CA).

Tôi chạy máy chủ tên của riêng mình và sử dụng Easydns làm công ty đăng ký của mình - tuy nhiên Easydns không hỗ trợ đưa bản ghi DS vào vùng .net vì vậy tôi sử dụng dịch vụ Xác thực Tên miền (DLV) của ISC làm mỏ neo tin cậy, miễn phí và được sử dụng bởi phần lớn các trình phân giải xác nhận DNSSEC. Tôi cũng đang sử dụng gkg.net cho một số tên miền khác và họ hỗ trợ thực hiện DNSSEC đúng cách.

Hiện tại không có trình duyệt web (theo như tôi biết) có hỗ trợ riêng để xác thực các bản ghi TLSA tuy nhiên bạn có thể nhận được một tiện ích bổ sung xác thực TLSA cho firefox, nhưng nó bị treo trên một số tra cứu dns.

Tôi đã nói chuyện về DNSSEC và các vấn đề liên quan tại EMFCamp Hackercamp vào mùa hè này, các ghi chú và kết xuất liên kết của tôi nằm trên wiki EMFCamp .

Tái bút: Nếu bạn đang đọc bài này và nghĩ rằng DNSSEC và TLSA là một sự lãng phí thời gian thì hãy đọc bài viết này về cách Bức tường lửa vĩ đại của Trung Quốc bị rò rỉ .

Vì vậy, để trả lời câu hỏi tóm tắt của bạn:

Có ai ở đây thực sự thiết lập một trang web với DNSSEC, từ đăng ký tên miền đến cấu hình máy chủ DNS, để thực sự có một trang web hoạt động được bảo mật hoàn toàn với DNSSEC?

Đúng

Có ai đã tích hợp thành công DNSSEC với chứng chỉ SSL để đảm bảo rằng chỉ có một chứng chỉ đúng có thể được xác nhận bởi trình duyệt và tất cả các chứng chỉ hoặc chứng chỉ SSL giả mạo cho tên không đủ tiêu chuẩn sẽ bị từ chối?

Đúng

Bất cứ ai có thể đề nghị bất kỳ đăng ký được đề cập ở trên?

gkg.net

Bất cứ ai có thể đề nghị bất kỳ đăng ký không được đề cập ở trên?

dlv.isc.org, trong khi nó không chính xác là một công ty đăng ký, nó cho phép bạn làm việc xung quanh các công ty đăng ký không hỗ trợ dnssec.

Có kinh nghiệm nào tốt không? Kinh nghiệm xấu?

bài học kinh nghiệm:

Nếu bạn chạy các máy chủ dns của riêng bạn, bạn phải sử dụng một số phần mềm để quản lý các rolvers khóa dnssec, tôi sử dụng trình ký zkt .
bạn không thể có cùng một phần mềm máy chủ DNS vừa là máy chủ có thẩm quyền vừa là trình phân giải hợp lệ - quảng cáo và cờ aa xung đột, tôi phải ngăn máy chủ tên của mình trở thành trình phân giải, hủy liên kết nó khỏi localhost và thay vào đó sử dụng không gắn kết trên localhost .

cập nhật:

Đây là một bản tóm tắt tốt về tình trạng hiện tại của trò chơi

cập nhật ngày 13 tháng 12 năm 2012:

Tôi hiện đang sử dụng gkg.net cho tất cả các tên miền của mình. Tôi vẫn đang sử dụng dịch vụ isl dlv, nhưng tôi không thực sự cần nó nữa.

cập nhật ngày 15 tháng 9 năm 2014

Tôi hiện đang sử dụng gandi.net

— Jasper
nguồn

Tôi không có kinh nghiệm cá nhân với DNSSEC vì vậy thực sự không thể đưa ra bất kỳ đề xuất nào, nhưng liên kết này từ trang ICANN hiển thị danh sách các nhà đăng ký hiện tại đã báo cáo hỗ trợ cho DNSSEC:

http://www.icann.org/en/news/in-f Focus / dssssec / deployment

— Cướp
nguồn

Cảm ơn. Tôi đã đọc danh sách này (tôi quên đề cập đến nó trong câu hỏi, có thể tôi sẽ thêm nó cho đầy đủ) nhưng vấn đề với danh sách này là mức độ hỗ trợ hoàn toàn không biết. Ví dụ: Go Daddy được liệt kê nhưng có vẻ như DNSSEC là một tính năng cao cấp mà bạn phải trả phí bổ sung và tôi không biết nó hoạt động như thế nào trong thực tế. Name.com được liệt kê, DynDNS được liệt kê, easyDNS được liệt kê, nhưng xem thông tin trong câu hỏi của tôi. Thật khó để tìm ra các nhà đăng ký nào hỗ trợ đầy đủ cho DNSSEC hoặc họ làm việc đó thuận tiện như thế nào và đó là lý do tại sao tôi hỏi về kinh nghiệm cá nhân.

— rsp