Wie finde ich Domain-Registrare und DNS-Hosting mit guter DNSSEC-Unterstützung?


17

Vereinfachtes Problem

Ich möchte eine Domain kaufen und eine Website erstellen, die vollständig mit DNSSEC gesichert ist .

Ich möchte sicherstellen, dass nur das eine richtige SSL-Zertifikat von den Browsern überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden.

Wo kann ich eine Domain kaufen? Wo soll ich ein Zertifikat kaufen? (Oder sollte ich ein selbstsigniertes Zertifikat mit DNSSEC anstelle von Zertifizierungsstellen verwenden ?) Wo kann ich DNS hosten? Welche Anbieter machen den gesamten Prozess am bequemsten, kostengünstigsten, vollständigsten, professionellsten, robustesten und sichersten?

Hintergrund

Ich habe seit Jahren von der Unsicherheit von DNS gehört . Ich habe alle Vorträge von Dan Kaminsky und anderen von DNS-Exploits bis zur Zukunft des DNS-Sicherheits-Panels gesehen . Ich wusste, dass die Verwendung von DNS ohne Sicherheit eine Katastrophe ist, die darauf wartet, passiert zu werden. Ich habe die Entwicklung des DNSSEC-Standards verfolgt. Ich habe die feierliche Unterzeichnung des Schlüssels gefeiert .

Inzwischen habe ich gelesen , über Tausende von SSL - Zertifikaten Ausgestellt für unqualifizierte Namen und Rogue SSL - Zertifikate Ausgestellt für CIA, MI6, Mossad und viele andere Geschichten wie die mit SSL gesichert Probleme mit der aktuellen Implementierung von Websites zeigen , die durch DNSSEC gelöst werden kann (siehe: A Wichtiger Meilenstein im Internet: DNSSEC und SSL und DNSSEC zur Behebung des SSL-Problems ( und der Validierung von SSL-Zertifikaten und DNSSEC ). Alles war auf dem richtigen Weg, um endlich ein sicheres DNS-System zu haben.

Und jetzt, mehr als zwei Jahre später, wollte ich einfach das tun, was alle sagten: DNSSEC für eine neue Domain verwenden. Also brauche ich einen Domain-Registrar und einen DNS-Hosting-Service, der DNSSEC unterstützt. Überraschenderweise ist es gar nicht so einfach herauszufinden, wer DNSSEC in welchem ​​Umfang unterstützt. Es war eigentlich viel einfacher zu finden Informationen über DNSSEC vor zwei Jahren , als jeder zu gehen DNSSEC Echt Bald nun zu unterstützen , aber jetzt Jahre vergangen , und ich sehe kaum Fortschritte gemacht. Ich hoffe nur, dass ich nur an den falschen Stellen gesucht habe und jemand hier wird mir freundlich alle Zweifel erklären.

Ich hoffe, dass auch andere Leute, die eine sichere Website haben möchten, diese Frage nützlich finden.

Was wird benötigt

  • Registrar- und DNS-Server mit vollständiger DNSSEC-Unterstützung für .comDomains
  • Integration von DNSSEC mit SSL-Zertifikaten

Was wird nicht benötigt

  • IPv6-Unterstützung
  • Web-Hosting
  • etwas mehr

Was ich bisher herausgefunden habe

Verwandte Fragen

  1. Wie finde ich ein Webhosting, das meinen Anforderungen entspricht?
  2. Was wird benötigt, um DNSSEC zu meiner Site hinzuzufügen?
  3. DNS-Hosting besser von Domain-Provider oder Hosting-Provider verwaltet?
  4. Registrar mit guter Sicherheit, DNS-Hosting und DNSSEC- und IPv6-Resolvern?

In nein. 1 Niemand erwähnt jemals DNS. In nein. 2 Antworten erwähnen nur die .seTLD, es gibt nur sehr wenige Antworten und sie scheinen sehr veraltet zu sein. In nein. In einer Antwort heißt es: "Bei Projekten, die eine höhere Sicherheit erfordern, suche ich möglicherweise nach einem Webhost, der DNSSEC unterstützt." Es werden jedoch keine weiteren Informationen bereitgestellt.

Die einzig relevanten Antworten sind in nein. 4 wo easyDNS von jemandem empfohlen wird, der es noch nie persönlich benutzt hat. Ab Oktober 2012 wird die Unterstützung von DNSSEC in der easyDNS-Funktionsliste als "in Beta" beschrieben . Ein anderer empfiehlt SiteGround, aber das Durchsuchen der Site nach DNSSEC liefert keine Ergebnisse. Andere Antworten empfehlen Webhosting-Anbieter, die die Anforderungen des DNSSEC-Supports nicht erfüllen. In der oben genannten Frage sind außerdem 9 sehr spezifische Anforderungen aufgeführt, die nicht nur DNSSEC betreffen (wie z. B. Nur-HTTP-Anmelde-Cookies, Zwei-Faktor-Authentifizierungen, keine DNS-Eintragsbeschränkungen, DNS-Statistiken für Abfragen / Tag, Prüfpfade usw.) viele mögliche Empfehlungen, wenn man nur an DNSSEC-Unterstützung interessiert ist.

Schlussfolgerungen

Ist es möglich, dass der Pionier der DNSSEC-Einführung Go Daddy ist und alle "Experten" -DNS-Dienste noch nicht bereit sind?

Ich dachte, dass die Unterstützung von DNSSEC durch Domain-Registrare und DNS-Anbieter bis Ende 2012 nahezu universell sein würde. Ich bin schockiert, dass die Unterstützung so gut wie nicht vorhanden zu sein scheint. Ist dies das Ergebnis einiger schwerwiegender Probleme bei der Einführung von DNSSEC? Oder ist es einfach kein heißes Thema und es stört niemanden mehr? Laut DNSSEC Scoreboard unterstützen ungefähr 0,1% der .comDomains DNSSEC. Könnte dies an der mangelnden DNSSEC-Unterstützung bei Registraren und DNS-Anbietern liegen, sind die Informationen zu schwer zu finden oder interessiert sich niemand dafür? Es gibt hier sogar kein "dnssec" -Tag.

Zusammenfassung

Die Informationen sind überraschend schwer zu finden. Deshalb bitte ich um Erfahrungen aus erster Hand und um persönliche Empfehlungen.

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden?

Kann jemand einen der oben genannten Registrare empfehlen?

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?


Gute Frage. Ich kann keine persönliche Empfehlung aussprechen, aber diese Liste von PIR enthält eine aktuelle Gruppe von DNSSEC-Anbietern, von denen einige in Ihrer Liste noch nicht aufgeführt sind. Die Internet Society hat auch einen Leitfaden zum Signieren von Domains bei DNSSEC mit einer kleinen, aber wachsenden Anzahl von Registraren.
Nick

Hätte erwähnen sollen, dass in den Handbüchern der Internet Society die Preise erwähnt werden, sie sind also ziemlich nützlich. Es scheint, dass DNSSEC derzeit ein Premium-Dienst für alle Registrare ist.
Nick

Thanks @Nick Ich habe die Informationen aus Ihren Links zu der Frage hinzugefügt.
rsp

1
Diese Liste ( frankb.us/dns ) der kostenlosen sekundären / Slave-Server (mit der Angabe, ob sie DNSSEC unterstützen) scheint ein nützlicher Ausgangspunkt zu sein, wenn Sie entscheiden, dass die Zahlung von 30 US-Dollar pro Monat für eine oder zwei Domains zu teuer ist dass Sie einfach nicht mit GoDaddy dorthin wollen, sondern die DNS-Dienste selbst mit einem Remote-Backup rollen möchten (was ich wahrscheinlich für meine persönlichen Domains tun werde, obwohl ich wahrscheinlich Dyn Inc. für einen Werbespot verwenden würde Projekt). Wenn ich es eingerichtet habe, werde ich meine Erfahrungen in einer Antwort hier aufschreiben.
Alex Dupuy

Ich habe eine .info Domain von Name.com. Sie haben jetzt eine separate Seite für die DNSSEC-Verwaltung. Ersetzen Sie xxx.yyymit Ihrer Domain in dem Link. Diese Seite meldet jedoch zwei Fehler für mich: 1. In DNS wurden keine unterstützten DNSKEY-Einträge gefunden. Dies bedeutet normalerweise, dass Ihre Nameserver nicht richtig für DNSSEC konfiguriert sind. und 2. Es wurden keine DNSSEC-Einträge in der Registrierung gefunden. Dies bedeutet, dass Ihre Domain nicht richtig für DNSSEC konfiguriert ist.
HRJ

Antworten:


7

Diese Website: https://pointless.net/

Ist DNSsec-signiert und verwendet einen TLSA-Datensatz ( RFC6698 ) zum Sichern des SSL-Zertifikats (das auch von CA CERT , einer Art Open-Source-Web-of-Trust- Zertifizierungsstelle, signiert wird ).

Ich verwende meine eigenen Nameserver und Easydns als Registrar. Easydns unterstützt jedoch nicht das Einfügen eines DS-Eintrags in die .net-Zone. Daher verwende ich den ISC Domain Lookaside Validation Service (DLV) als Vertrauensanker, der kostenlos ist und verwendet wird von der Mehrheit der DNSSEC-validierenden Resolver. Ich benutze gkg.net auch für einige andere Domains und sie unterstützen es, DNSSEC richtig zu machen.

Derzeit unterstützt (soweit mir bekannt ist) kein Webbrowser nativ TLSA-Einträge. Sie können jedoch ein TLSA-Validierungs-Add-On für Firefox erwerben, das jedoch bei einigen DNS-Lookups hängt.

Ich habe diesen Sommer im EMFCamp Hackercamp einen Vortrag über DNSSEC und verwandte Themen gehalten. Meine Notizen und mein Link-Dump befinden sich im EMFCamp-Wiki .

PS Wenn Sie dies lesen und glauben, dass DNSSEC und TLSA Zeitverschwendung sind, lesen Sie dieses Dokument darüber, wie die Great Firewall of China ausläuft .

So beantworten Sie Ihre zusammenfassenden Fragen:

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

Ja

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden?

Ja

Kann jemand einen der oben genannten Registrare empfehlen?

gkg.net

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

dlv.isc.org ist zwar kein Registrar, aber Sie können damit Registrare umgehen, die dnssec nicht unterstützen.

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?

gewonnene Erkenntnisse:

  • Wenn Sie Ihre eigenen DNS-Server betreiben, müssen Sie eine Software zum Verwalten der DNSSEC-Schlüssel-Rollovers verwenden. Ich verwende zkt signer .
  • Sie können nicht dasselbe DNS-Server-Programm haben, das sowohl ein autorisierender Server als auch ein validierender Resolver ist - die Anzeigen- und AA-Flags treffen aufeinander. Ich musste meinen Nameserver davon abhalten, ein Resolver zu sein, ihn von localhost zu lösen und stattdessen ungebunden auf localhost zu verwenden .

Aktualisierung:

Dies ist eine gute Zusammenfassung des aktuellen Stands der Dinge

Update 13. Dezember 2012:

Ich benutze jetzt gkg.net für alle meine Domains. Ich benutze immer noch den isc dlv Dienst, aber ich brauche ihn nicht mehr wirklich.

Update 15. September 2014

Ich benutze jetzt gandi.net


2

Ich habe keine persönlichen Erfahrungen mit DNSSEC und kann daher keine Empfehlungen aussprechen, aber dieser Link von der ICANN-Website zeigt eine Liste der aktuellen Registrare, die Unterstützung für DNSSEC gemeldet haben:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Vielen Dank. Ich habe diese Liste bereits gelesen (ich habe vergessen, sie in der Frage zu erwähnen, vielleicht füge ich sie der Vollständigkeit halber hinzu), aber das Problem mit dieser Liste ist, dass der Support-Level völlig unbekannt ist. Zum Beispiel ist Go Daddy gelistet, aber es scheint, dass DNSSEC eine Premium-Funktion ist, für die Sie zusätzliche Gebühren zahlen müssen, und ich weiß nicht, wie es in der Praxis funktioniert. Name.com ist aufgeführt, DynDNS ist aufgeführt, easyDNS ist aufgeführt, aber siehe die Informationen in meiner Frage. Es ist schwer zu finden, welche Registrare DNSSEC vollständig unterstützen oder wie bequem sie es machen, und deshalb frage ich nach persönlicher Erfahrung.
rsp
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.