Como encontrar registrador de domínio e hospedagem DNS com bom suporte DNSSEC?


17

Problema simplificado

Quero comprar um domínio e criar um site totalmente seguro com DNSSEC .

Quero garantir que apenas o certificado SSL certo possa ser validado pelos navegadores e que todos os certificados SSL não autorizados ou certificados para nomes não qualificados sejam rejeitados.

Onde posso comprar um domínio? Whare devo comprar um certificado? (Ou devo usar um certificado autoassinado com DNSSEC em vez de CAs?) Onde posso hospedar o DNS? Quais provedores tornam todo o processo mais conveniente, mais acessível, mais completo, mais profissional, mais robusto e mais seguro?

fundo

Eu tenho ouvido falar sobre a insegurança do DNS há anos. Eu assisti todas as conversas de Dan Kaminsky e outros, desde explorações de DNS até O futuro do painel de segurança de DNS . Eu sabia que usar o DNS sem segurança é um desastre esperando para acontecer. Eu segui o desenvolvimento do padrão DNSSEC. Comemorei a cerimônia de assinatura das chaves .

Enquanto isso, li sobre milhares de certificados SSL emitidos para nomes não qualificados e certificados inválidos emitidos para a CIA, MI6, Mossad e muitas outras histórias como essa, mostrando problemas com a implementação atual de sites protegidos com SSL que poderiam ser resolvidos pelo DNSSEC (consulte: A Marco principal da Internet: DNSSEC e SSL e DNSSEC para corrigir a bagunça SSL? E validação de certificado SSL e DNSSEC ). Tudo estava no caminho certo para finalmente ter um sistema DNS seguro.

E agora, mais de dois anos depois, eu queria fazer o que todo mundo dizia que eu deveria fazer: usar o DNSSEC para um novo domínio. Então, eu preciso de um registrador de domínio e um serviço de hospedagem DNS que suporte DNSSEC. Surpreendentemente, não é tão fácil descobrir quem suporta o DNSSEC e até que ponto. Na verdade, foi muito mais fácil de encontrar informações sobre DNSSEC dois anos atrás, quando todo mundo estava indo para suportar DNSSEC real logo agora, mas agora anos se passaram e eu quase não vê qualquer progresso feito. Só espero que eu esteja apenas procurando nos lugares errados e alguém aqui gentilmente explique todas as dúvidas.

Espero que outras pessoas que desejam ter um site seguro também achem essa pergunta útil.

O que é preciso

  • registrador e servidores DNS com suporte DNSSEC completo para .comdomínios
  • integração de DNSSEC com certificados SSL

O que não é necessário

  • Suporte IPv6
  • Hospedagem na Web
  • algo mais

O que eu descobri até agora

Perguntas relacionadas

  1. Como encontrar hospedagem na web que atenda aos meus requisitos?
  2. O que é necessário para adicionar DNSSEC ao meu site?
  3. Hospedagem DNS melhor gerenciada pelo provedor de domínio ou provedor de hospedagem?
  4. Registrador com boa segurança, hospedagem DNS e resolvedores DNSSEC e IPv6?

No n. 1 ninguém nunca menciona DNS. No n. Duas respostas mencionam apenas o .seTLD, existem muito poucas e parecem muito desatualizadas. No n. 3 uma resposta diz "Em projetos que exigem maior segurança, posso procurar um host da Web que suporte DNSSEC", mas não há mais informações.

As únicas respostas relevantes estão no no. 4 onde o easyDNS é recomendado por alguém que nunca os usou pessoalmente. Enquanto isso, em outubro de 2012, o suporte ao DNSSEC é descrito como "em beta" na lista de recursos do easyDNS . Outro recomenda o SiteGround, mas a busca no DNSSEC no site não gera resultados. Outras respostas recomendam provedores de hospedagem que não atendem aos requisitos de suporte DNSSEC. Além disso, a pergunta mencionada acima lista 9 requisitos muito específicos, além do DNSSEC (como, por exemplo, cookies de login somente HTTP, autenticação de dois fatores, sem limite de registros DNS, estatísticas de consultas / dia do DNS, trilhas de auditoria etc.) que podem ter sido excluídos muitas recomendações possíveis, se alguém estiver interessado apenas no suporte ao DNSSEC.

Conclusões

É possível que o pioneiro na adoção do DNSSEC seja o Go Daddy e todos os serviços DNS "especializados" ainda não estejam prontos?

Eu pensei que até o final de 2012 o suporte ao DNSSEC entre registradores de domínio e provedores de DNS seria quase universal. Estou chocado que o apoio parece praticamente inexistente. Isso é resultado de alguns problemas sérios com a adoção do DNSSEC? Ou não é apenas um tópico quente e ninguém mais se incomoda? De acordo com o painel de avaliação do DNSSEC, aproximadamente 0,1% dos .comdomínios suportam o DNSSEC. Isso pode ser causado pela falta de suporte do DNSSEC entre registradores e provedores de DNS, é difícil encontrar as informações ou talvez ninguém se importe? Ainda não existe uma tag "dnssec" aqui.

Sumário

A informação é surpreendentemente difícil de encontrar. É por isso que estou pedindo experiência em primeira mão e recomendações pessoais.

Alguém aqui realmente configurou um site com DNSSEC, desde o registro de domínio até a configuração de servidores DNS, até ter um site em funcionamento totalmente seguro com DNSSEC?

Alguém integrou com êxito o DNSSEC com certificados SSL para garantir que apenas o certificado certo pudesse ser validado pelo navegador e todos os certificados ou certificados SSL não autorizados para nomes não qualificados seriam rejeitados?

Alguém pode recomendar algum dos registradores mencionados acima?

Alguém pode recomendar qualquer registrador não mencionado acima?

Alguma boa experiência? Má experiência?


Ótima pergunta. Não posso oferecer uma recomendação pessoal, mas esta lista do PIR apresenta um grupo atualizado de provedores DNSSEC, alguns dos quais não foram mencionados na sua lista até o momento. A Internet Society também possui um guia para assinar domínios com DNSSEC com um número pequeno, mas crescente, de registradores.
Nick

Deveria ter mencionado que todos os guias da Sociedade da Internet mencionam preços, portanto são bastante úteis. Parece que o DNSSEC é um serviço premium entre todos os registradores no momento.
Nick

Obrigado @Nick Adicionei as informações dos seus links à pergunta.
Rsp #

1
Esta lista ( frankb.us/dns ) de servidores secundários / escravos gratuitos (com indicação de que eles suportam DNSSEC) parece um ponto de partida útil, se você decidir que pagar à Dyn Inc. US $ 30 / mês é muito caro para um ou dois domínios e que você simplesmente não quer ir lá com o GoDaddy, mas prefere usar os serviços DNS com algum backup remoto (que é o que provavelmente farei pelos meus domínios pessoais, embora eu provavelmente usasse a Dyn Inc. para fins comerciais) projeto). Quando eu configurá-lo, escreverei minhas experiências em uma resposta aqui.
AlexDupuy

Eu tenho um domínio .info de Name.com. Agora eles têm uma página separada para gerenciamento de DNSSEC. Substitua xxx.yyypelo seu domínio no link. No entanto, essa página relata dois erros para mim: 1. Nenhum registro DNSKEY suportado foi encontrado no DNS. Isso geralmente significa que seus servidores de nomes não estão configurados corretamente para DNSSEC. e 2. Nenhum registro DNSSEC foi encontrado no registro. Isso significa que seu domínio não está configurado corretamente para DNSSEC.
HRJ 20/08/14

Respostas:


7

Este site: https://pointless.net/

O dnssec está assinado e usa um registro TLSA ( RFC6698 ) para proteger o certificado SSL (que também é assinado pelo CA CERT , uma espécie de CA de confiança da Web de código aberto).

Eu corro meus próprios servidores de nomes e uso o Easydns como meu registrador - no entanto, o Easydns não suporta a inserção de um registro DS na zona .net, então eu uso o serviço de Validação de Lookaside de Domínio (DLV) do ISC como âncora confiável, que é gratuita e é usada pela maioria dos resolvedores de validação DNSSEC. Também estou usando o gkg.net para alguns outros domínios e eles suportam o DNSSEC corretamente.

Atualmente, nenhum navegador da Web (até onde eu saiba) tem suporte nativo para validar registros TLSA; no entanto, você pode obter um complemento de validação de TLSA para firefox, mas isso fica suspenso em algumas pesquisas de DNS.

Fiz uma palestra sobre DNSSEC e assuntos relacionados no EMFCamp Hackercamp neste verão, minhas anotações e despejo de links estão no wiki do EMFCamp .

PS Se você está lendo isso e acha que DNSSEC e TLSA é uma perda de tempo, leia este artigo sobre como o Grande Firewall da China vaza .

Então, para responder às suas perguntas resumidas:

Alguém aqui realmente configurou um site com DNSSEC, desde o registro de domínio até a configuração de servidores DNS, até ter um site em funcionamento totalmente seguro com DNSSEC?

sim

Alguém integrou com êxito o DNSSEC com certificados SSL para garantir que apenas o certificado certo pudesse ser validado pelo navegador e todos os certificados ou certificados SSL não autorizados para nomes não qualificados seriam rejeitados?

sim

Alguém pode recomendar algum dos registradores mencionados acima?

gkg.net

Alguém pode recomendar qualquer registrador não mencionado acima?

dlv.isc.org, embora não seja exatamente um registrador, ele permite contornar registradores que não oferecem suporte ao dnssec.

Alguma boa experiência? Má experiência?

lições aprendidas:

  • Se você executa seus próprios servidores DNS, deve usar algum software para gerenciar as trocas de chaves dnssec, eu uso o zkt signer .
  • você não pode ter o mesmo software de servidor DNS para ser um servidor autoritário e um resolvedor validador - o anúncio e o sinalizador colidem, tive que parar meu servidor de nomes de resolver, desassociá-lo do localhost e usá-lo em localhost .

atualizações:

Este é um bom verão do estado atual do jogo

update 13 Dec 2012:

Agora estou usando o gkg.net para todos os meus domínios. Ainda estou usando o serviço isc dlv, mas não preciso mais dele.

atualização 15 set 2014

Agora estou usando gandi.net


2

Não tenho experiência pessoal com o DNSSEC, por isso não posso fazer recomendações, mas este link do site da ICANN mostra uma lista dos registradores atuais que relataram suporte ao DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Obrigado. Eu já li essa lista (esqueci de mencioná-la na pergunta, talvez eu a adicione por completo), mas o problema dessa lista é que o nível de suporte é completamente desconhecido. Por exemplo, Go Daddy está listado, mas parece que o DNSSEC é um recurso premium pelo qual você deve pagar taxas adicionais e não sei como funciona na prática. Name.com está listado, DynDNS está listado, easyDNS está listado, mas veja as informações na minha pergunta. É difícil descobrir quais registradores suportam totalmente o DNSSEC ou qual a conveniência deles e é por isso que estou perguntando sobre a experiência pessoal.
Rsp #
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.