Wie finde ich Domain-Registrare und DNS-Hosting mit guter DNSSEC-Unterstützung?

Vereinfachtes Problem

Ich möchte eine Domain kaufen und eine Website erstellen, die vollständig mit DNSSEC gesichert ist .

Ich möchte sicherstellen, dass nur das eine richtige SSL-Zertifikat von den Browsern überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden.

Wo kann ich eine Domain kaufen? Wo soll ich ein Zertifikat kaufen? (Oder sollte ich ein selbstsigniertes Zertifikat mit DNSSEC anstelle von Zertifizierungsstellen verwenden ?) Wo kann ich DNS hosten? Welche Anbieter machen den gesamten Prozess am bequemsten, kostengünstigsten, vollständigsten, professionellsten, robustesten und sichersten?

Hintergrund

Ich habe seit Jahren von der Unsicherheit von DNS gehört . Ich habe alle Vorträge von Dan Kaminsky und anderen von DNS-Exploits bis zur Zukunft des DNS-Sicherheits-Panels gesehen . Ich wusste, dass die Verwendung von DNS ohne Sicherheit eine Katastrophe ist, die darauf wartet, passiert zu werden. Ich habe die Entwicklung des DNSSEC-Standards verfolgt. Ich habe die feierliche Unterzeichnung des Schlüssels gefeiert .

Inzwischen habe ich gelesen , über Tausende von SSL - Zertifikaten Ausgestellt für unqualifizierte Namen und Rogue SSL - Zertifikate Ausgestellt für CIA, MI6, Mossad und viele andere Geschichten wie die mit SSL gesichert Probleme mit der aktuellen Implementierung von Websites zeigen , die durch DNSSEC gelöst werden kann (siehe: A Wichtiger Meilenstein im Internet: DNSSEC und SSL und DNSSEC zur Behebung des SSL-Problems ( und der Validierung von SSL-Zertifikaten und DNSSEC ). Alles war auf dem richtigen Weg, um endlich ein sicheres DNS-System zu haben.

Und jetzt, mehr als zwei Jahre später, wollte ich einfach das tun, was alle sagten: DNSSEC für eine neue Domain verwenden. Also brauche ich einen Domain-Registrar und einen DNS-Hosting-Service, der DNSSEC unterstützt. Überraschenderweise ist es gar nicht so einfach herauszufinden, wer DNSSEC in welchem ​​Umfang unterstützt. Es war eigentlich viel einfacher zu finden Informationen über DNSSEC vor zwei Jahren , als jeder zu gehen DNSSEC Echt Bald nun zu unterstützen , aber jetzt Jahre vergangen , und ich sehe kaum Fortschritte gemacht. Ich hoffe nur, dass ich nur an den falschen Stellen gesucht habe und jemand hier wird mir freundlich alle Zweifel erklären.

Ich hoffe, dass auch andere Leute, die eine sichere Website haben möchten, diese Frage nützlich finden.

Was wird benötigt

• Registrar- und DNS-Server mit vollständiger DNSSEC-Unterstützung für .comDomains
• Integration von DNSSEC mit SSL-Zertifikaten

Was wird nicht benötigt

• IPv6-Unterstützung
• Web-Hosting
• etwas mehr

Was ich bisher herausgefunden habe

• Go Daddy bietet einen Premium-DNS- Service für zusätzliche 36 US-Dollar pro Jahr, mit dem Sie "bis zu 5 Domains mit DNSSEC sichern" können.
• easyDNS bietet DNSSEC in Beta für alle Service-Levels an (Sie müssen das "Beta" -Flag in der Konfiguration aktivieren), es scheint jedoch nicht produktionsbereit zu sein, und nach dem Fehlen von Updates ist es keine Funktion mit höchster Priorität ( das letzte Update vom März 2011 auf dem easyDNS-Blog).
• Name.com - Laut The Register ( US-Domain-Registrar IPv6, DNSSEC ) hat es seit 2010 DNSSEC-Unterstützung, aber im Moment (Oktober 2012) konnte ich nichts im Zusammenhang mit DNSSEC auf ihrer Website finden.
• Dynadot , das sehr oft empfohlen wird, unterstützt DNSSEC nicht
• Namecheap , das ebenfalls häufig empfohlen wird, unterstützt DNSSEC nicht. Die Support-Antwort aus dem Jahr 2011 deutete darauf hin, dass sie hinzugefügt wurde, aber im Jahr 2012 wird noch keine ETA an Kunden weitergegeben .
• DynDNS sollte DNSSEC unterstützen. Ich habe einen Link gefunden, der die DNSSEC-Unterstützung erklärt, aber es gibt eine 404-Seite "Nicht gefunden" und ein Suchfeld - bei der Suche nach DNSSEC erhalte ich "Es wurden keine Ergebnisse für Ihre Suchanfrage gefunden."
• GKG wurde online für DNSSEC - Unterstützung empfohlen , aber es ist schwer , keine Informationen über die Höhe der DNSSEC - Unterstützung zu finden - es gibt eine kurze Erklärung auf , was DNSSEC ist und wie Delegation Signer Aufzeichnungen unterzeichnen in ihrer FAQ aber keine Angaben zur Höhe der tatsächlichen Unterstützung kann gefunden werden.
• Slashdot fragen: Welche Registrare unterstützen DNSSEC? ab Juli 2011 - Antwortliste Go Daddy, DynDNS, GKG, Name.com als Registrare, die DNSSEC unterstützen, aber: siehe oben .
• Registrars , dass die Unterstützung Endbenutzers DNSSEC - Management, einschließlich Eingabe von DS Aufzeichnungen von ICANN (dank Rob für mich darüber zu erinnern ) - das Problem mit dieser Liste ist , dass die Höhe der Unterstützung ist nicht bekannt, die Tatsache , ob Sie zahlen für DNSSEC zusätzliche haben Gebühren werden nicht erwähnt, geschweige denn die Bequemlichkeit, Domains zu kaufen, zu konfigurieren und zu hosten, die vollständig mit DNSSEC und SSL gesichert sind.
• Liste der .ORG-Registrare, die OT & E für DNSSEC bestanden haben, veröffentlicht von der Public Interest Registry - viele Registrare, aber sie sind für .orgTLD-Unterstützung aufgelistet und wie sie sagen: "Dies zeigt nicht an, ob der Registrar einen DNSSEC-Dienst für die Registranten aktiviert hat Bitte wenden Sie sich direkt an die Registrare, um den DNSSEC-Dienst zu erhalten. "
• So sichern und signieren Sie Ihre Domain mit DNSSEC mithilfe von Domain-Registraren der Internet Society (danke an Nick für den Hinweis): Derzeit werden nur zwei.com Registrare , die TLD unterstützen, in der Liste der "Registrare, die DNSSEC für Registrierung und Hosting unterstützen" aufgeführt, d. H. Go Daddy (mit einer zusätzlichen Gebühr von 36 USD / Jahr) und Dyn (mit einer zusätzlichen Gebühr von 330 USD / Jahr) . Weitere Informationen finden Sie unter So signieren Sie Ihre Domain mit DNSSEC mithilfe von Dyn, Inc und So signieren Sie Ihre Domain mit DNSSEC mithilfe von GoDaddy.com .

Verwandte Fragen

1. Wie finde ich ein Webhosting, das meinen Anforderungen entspricht?
2. Was wird benötigt, um DNSSEC zu meiner Site hinzuzufügen?
3. DNS-Hosting besser von Domain-Provider oder Hosting-Provider verwaltet?
4. Registrar mit guter Sicherheit, DNS-Hosting und DNSSEC- und IPv6-Resolvern?

In nein. 1 Niemand erwähnt jemals DNS. In nein. 2 Antworten erwähnen nur die .seTLD, es gibt nur sehr wenige Antworten und sie scheinen sehr veraltet zu sein. In nein. In einer Antwort heißt es: "Bei Projekten, die eine höhere Sicherheit erfordern, suche ich möglicherweise nach einem Webhost, der DNSSEC unterstützt." Es werden jedoch keine weiteren Informationen bereitgestellt.

Die einzig relevanten Antworten sind in nein. 4 wo easyDNS von jemandem empfohlen wird, der es noch nie persönlich benutzt hat. Ab Oktober 2012 wird die Unterstützung von DNSSEC in der easyDNS-Funktionsliste als "in Beta" beschrieben . Ein anderer empfiehlt SiteGround, aber das Durchsuchen der Site nach DNSSEC liefert keine Ergebnisse. Andere Antworten empfehlen Webhosting-Anbieter, die die Anforderungen des DNSSEC-Supports nicht erfüllen. In der oben genannten Frage sind außerdem 9 sehr spezifische Anforderungen aufgeführt, die nicht nur DNSSEC betreffen (wie z. B. Nur-HTTP-Anmelde-Cookies, Zwei-Faktor-Authentifizierungen, keine DNS-Eintragsbeschränkungen, DNS-Statistiken für Abfragen / Tag, Prüfpfade usw.) viele mögliche Empfehlungen, wenn man nur an DNSSEC-Unterstützung interessiert ist.

Schlussfolgerungen

Ist es möglich, dass der Pionier der DNSSEC-Einführung Go Daddy ist und alle "Experten" -DNS-Dienste noch nicht bereit sind?

Ich dachte, dass die Unterstützung von DNSSEC durch Domain-Registrare und DNS-Anbieter bis Ende 2012 nahezu universell sein würde. Ich bin schockiert, dass die Unterstützung so gut wie nicht vorhanden zu sein scheint. Ist dies das Ergebnis einiger schwerwiegender Probleme bei der Einführung von DNSSEC? Oder ist es einfach kein heißes Thema und es stört niemanden mehr? Laut DNSSEC Scoreboard unterstützen ungefähr 0,1% der .comDomains DNSSEC. Könnte dies an der mangelnden DNSSEC-Unterstützung bei Registraren und DNS-Anbietern liegen, sind die Informationen zu schwer zu finden oder interessiert sich niemand dafür? Es gibt hier sogar kein "dnssec" -Tag.

Zusammenfassung

Die Informationen sind überraschend schwer zu finden. Deshalb bitte ich um Erfahrungen aus erster Hand und um persönliche Empfehlungen.

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden?

Kann jemand einen der oben genannten Registrare empfehlen?

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?

Diese Website: https://pointless.net/

Ist DNSsec-signiert und verwendet einen TLSA-Datensatz ( RFC6698 ) zum Sichern des SSL-Zertifikats (das auch von CA CERT , einer Art Open-Source-Web-of-Trust- Zertifizierungsstelle, signiert wird ).

Ich verwende meine eigenen Nameserver und Easydns als Registrar. Easydns unterstützt jedoch nicht das Einfügen eines DS-Eintrags in die .net-Zone. Daher verwende ich den ISC Domain Lookaside Validation Service (DLV) als Vertrauensanker, der kostenlos ist und verwendet wird von der Mehrheit der DNSSEC-validierenden Resolver. Ich benutze gkg.net auch für einige andere Domains und sie unterstützen es, DNSSEC richtig zu machen.

Derzeit unterstützt (soweit mir bekannt ist) kein Webbrowser nativ TLSA-Einträge. Sie können jedoch ein TLSA-Validierungs-Add-On für Firefox erwerben, das jedoch bei einigen DNS-Lookups hängt.

Ich habe diesen Sommer im EMFCamp Hackercamp einen Vortrag über DNSSEC und verwandte Themen gehalten. Meine Notizen und mein Link-Dump befinden sich im EMFCamp-Wiki .

PS Wenn Sie dies lesen und glauben, dass DNSSEC und TLSA Zeitverschwendung sind, lesen Sie dieses Dokument darüber, wie die Great Firewall of China ausläuft .

So beantworten Sie Ihre zusammenfassenden Fragen:

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

Ja

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser überprüft werden kann und alle falschen SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden?

Ja

Kann jemand einen der oben genannten Registrare empfehlen?

gkg.net

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

dlv.isc.org ist zwar kein Registrar, aber Sie können damit Registrare umgehen, die dnssec nicht unterstützen.

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?

gewonnene Erkenntnisse:

• Wenn Sie Ihre eigenen DNS-Server betreiben, müssen Sie eine Software zum Verwalten der DNSSEC-Schlüssel-Rollovers verwenden. Ich verwende zkt signer .
• Sie können nicht dasselbe DNS-Server-Programm haben, das sowohl ein autorisierender Server als auch ein validierender Resolver ist - die Anzeigen- und AA-Flags treffen aufeinander. Ich musste meinen Nameserver davon abhalten, ein Resolver zu sein, ihn von localhost zu lösen und stattdessen ungebunden auf localhost zu verwenden .

Aktualisierung:

Dies ist eine gute Zusammenfassung des aktuellen Stands der Dinge

Update 13. Dezember 2012:

Ich benutze jetzt gkg.net für alle meine Domains. Ich benutze immer noch den isc dlv Dienst, aber ich brauche ihn nicht mehr wirklich.

Update 15. September 2014

Ich benutze jetzt gandi.net

Ich habe keine persönlichen Erfahrungen mit DNSSEC und kann daher keine Empfehlungen aussprechen, aber dieser Link von der ICANN-Website zeigt eine Liste der aktuellen Registrare, die Unterstützung für DNSSEC gemeldet haben:

http://www.icann.org/en/news/in-focus/dnssec/deployment