İyi DNSSEC desteğiyle etki alanı kaydedicisi ve DNS barındırma nasıl bulunur?


17

Basitleştirilmiş sorun

Bir alan adı satın almak ve DNSSEC ile tamamen güvenli bir web sitesi yapmak istiyorum .

Yalnızca tek bir doğru SSL sertifikasının tarayıcılar tarafından doğrulanabildiğinden ve tüm hileli SSL sertifikalarının veya niteliksiz adlara ilişkin sertifikaların reddedileceğinden emin olmak istiyorum.

Etki alanını nereden satın alabilirim? Sertifika almalı mıyım? (Yoksa CA'lar yerine DNSSEC ile kendinden imzalı bir sertifika kullanmalı mıyım ?) DNS'yi nerede barındırabilirim? Hangi sağlayıcılar tüm süreci en uygun, en uygun fiyatlı, en eksiksiz, en profesyonel, en sağlam, en güvenli hale getirir?

Arka fon

Yıllardır DNS'nin güvensizliğini duyuyorum . Ben izledim Dan Kaminsky tarafından görüşmelerin tüm gelen ve diğerleri , DNS patlatır için DNS Güvenlik Paneli geleceği . DNS'yi güvenliksiz kullanmanın gerçekleşmeyi bekleyen bir felaket olduğunu biliyordum. DNSSEC standardının gelişimini izledim. Anahtar imza törenini kutladım .

Bu arada , Niteliksiz İsimlere Verilen Binlerce SSL Sertifikası ve CIA, MI6, Mossad ve SSL ile güvenli hale getirilmiş web sitelerinin DNSSEC tarafından çözülebilecek mevcut uygulamalarıyla ilgili sorunlar gösteren diğer birçok hikaye için yayınlanan SSL Sertifikalarını okudum (bkz: A Başlıca İnternet Milestone: DNSSEC ve SSL ve DNSSEC SSL karışıklık düzeltmek için? ve SSL sertifikası geçerlilik ve DNSSEC ). Sonunda güvenli bir DNS sistemine sahip olmak için her şey doğru yoldaydı.

Ve şimdi 2 yıldan fazla bir süre sonra herkesin yapmam gerektiğini söylediğini yapmak istedim: DNSSEC'yi yeni bir alan adı için kullanmak. Bu yüzden bir etki alanı kaydedicisine ve DNSSEC'yi destekleyen bir DNS barındırma hizmetine ihtiyacım var. Şaşırtıcı bir şekilde DNSSEC'yi kimin ve ne ölçüde desteklediğini bulmak o kadar kolay değil. Herkes ne zaman İki yıl önce aslında DNSSEC hakkında bilgi bulmak çok daha kolay oldu olacak Şimdi ama şimdi Yakında geçirilen yıllar DNSSEC Real, desteklemek ve ben neredeyse hiç ilerleme yapmış bakın. Umarım sadece yanlış yerlere bakıyordum ve buradaki birisi tüm şüpheleri açıklayacaktır.

Güvenli bir web sitesine sahip olmak isteyen diğer kişilerin de bu soruyu yararlı bulacağını umuyorum.

İhtiyaç duyulan şey

  • .cometki alanları için tam DNSSEC desteğine sahip kayıt şirketi ve DNS sunucuları
  • DNSSEC'nin SSL sertifikalarıyla entegrasyonu

Ne gerekli değil

  • IPv6 desteği
  • ağ sağlayıcısı
  • bir şey daha

Şimdiye kadar ne buldum

İlgili sorular

  1. Nasıl web benim gereksinimleri karşılayan barındırma bulmak için?
  2. Siteme DNSSEC eklemek için neye ihtiyacım var?
  3. DNS barındırma daha iyi Domain sağlayıcısı veya Hosting sağlayıcısı tarafından mı yönetiliyor?
  4. İyi güvenlik, DNS barındırma ve DNSSEC ve IPv6 çözümleyicileri olan kayıt şirketi?

Hayır. 1 Hiç kimse DNS'den hiç bahsetmiyor. Hayır. 2 cevap sadece .seTLD'den bahsediyor, çok az cevap var ve çok eski görünüyorlar. Hayır. 3 bir yanıt "Daha yüksek güvenlik gerektiren projelerde DNSSEC'yi destekleyen bir web barındırma hizmeti arayabilirim" diyor, ancak daha fazla bilgi verilmiyor.

Sadece ilgili cevaplar hayır. 4 easyDNS , daha önce hiç kişisel olarak kullanmayan biri tarafından önerilmektedir. Bu arada, Ekim 2012 itibariyle, DNSSEC desteği easyDNS özellik listesinde "beta sürümünde" olarak tanımlanmaktadır . Bir diğeri SiteGround'u önerir, ancak sitelerinde DNSSEC araması sonuç vermez. Diğer yanıtlar DNSSEC desteği gereksinimlerini karşılamayan web barındırma sağlayıcılarını önerir. Ayrıca yukarıda bahsedilen soru, yalnızca DNSSEC dışında (örneğin, yalnızca HTTP giriş çerezleri, iki faktörlü kimlik doğrulama, DNS kayıt limiti yok, sorguların / günlük DNS istatistikleri, denetim izleri vb.) 9 çok özel gereksinimi listelemektedir. yalnızca DNSSEC desteğiyle ilgileniyorsa birçok olası öneri.

Sonuçlar

DNSSEC'nin benimsenmesinin öncüsünün Go Daddy olması mümkün ve "uzman" DNS hizmetlerinin tümü henüz hazır değil mi?

2012 sonunda DNSSEC'nin alan adı kayıt kuruluşları ve DNS sağlayıcıları arasındaki desteğinin neredeyse evrensel olacağını düşündüm. Desteğin neredeyse yokmuş gibi görünmesinden şok oldum. Bu DNSSEC'nin benimsenmesi ile ilgili bazı ciddi sorunların bir sonucu mu? Yoksa konu sadece sıcak bir konu değil ve artık kimse rahatsız etmiyor mu? DNSSEC Skor Tablosuna göre , .comalan adlarının yaklaşık% 0,1'i DNSSEC'yi desteklemektedir. Bu, kayıt şirketleri ve DNS sağlayıcıları arasında DNSSEC desteğinin bulunmamasından kaynaklanıyor olabilir, bilgileri bulmak çok zor mu yoksa hiç kimsenin umurunda değil mi? Burada "dnssec" etiketi bile yok.

özet

Bilgiyi bulmak şaşırtıcı derecede zordur. Bu yüzden ilk elden deneyim ve kişisel öneriler istiyorum.

Buradaki herhangi bir kişi, alan adı kaydından DNS sunucularının yapılandırmasına kadar DNSSEC ile bir web sitesi kurmuş mu, aslında DNSSEC ile tamamen güvenli bir çalışan web sitesine sahip mi?

Tarayıcı tarafından yalnızca tek bir doğru sertifikanın doğrulanabildiğinden emin olmak için DNSSEC'i SSL sertifikalarıyla başarılı bir şekilde entegre etti ve tüm hileli SSL sertifikalarının veya kalifiye olmayan ad sertifikalarının reddedileceğini mi?

Yukarıda belirtilen kayıt şirketlerinden herhangi birini tavsiye edebilir misiniz?

Yukarıda belirtilmeyen herhangi bir kayıt şirketi önerebilir mi?

İyi bir deneyim var mı? Kötü bir deneyim?


Harika bir soru. Kişisel bir öneri sunamıyorum, ancak PIR'deki bu listede, şimdiye kadar listenizde belirtilmeyen güncel bir DNSSEC sağlayıcıları grubu var. İnternet Topluluğunun DNSSEC ile alan adlarını az ancak artan sayıda tescil ettiren ile imzalama konusunda bir kılavuzu vardır .
Nick

İnternet Topluluğunun rehberlerinin fiyattan bahsettiğinden bahsetmeliydim, bu yüzden oldukça faydalılar. DNSSEC şu anda tüm kayıt şirketleri arasında birinci sınıf bir hizmet gibi görünüyor.
Nick

@Nick, soruya bağlantılarınızdan bilgileri ekledim.
rsp

1
Bu ikincil / bağımlı sunucuların listesi ( frankb.us/dns ) ( DNSSEC'yi destekleyip desteklemediklerini gösteren bir gösterge), Dyn Inc.'e aylık 30 ABD doları ödemenin bir veya iki alan için çok pahalı olduğuna karar vermeniz durumunda faydalı bir başlangıç ​​noktası gibi görünür ve GoDaddy ile oraya gitmek istemediğinizi, ancak DNS hizmetlerini kendiniz uzaktan yedekleme ile yuvarlamayı tercih edersiniz (muhtemelen ticari alanlarınız için Dyn Inc.'i kullanmam gerekmesine rağmen, muhtemelen kişisel etki alanlarım için yapacağım şey budur. projesi). Ayarladığımda, deneyimlerimi burada bir cevapla yazacağım.
Alex Dupuy

Name.com'dan bir .info alan adım var. DNSSEC yönetimi için şimdi ayrı bir sayfaları var . xxx.yyyBağlantıdaki alan adınızla değiştirin . Ancak, bu sayfa benim için iki hata bildirdi: 1. DNS'de desteklenen bir DNSKEY kaydı bulunamadı. Bu genellikle ad sunucularınızın DNSSEC için düzgün yapılandırılmadığı anlamına gelir. ve 2. Kayıt defterinde DNSSEC kaydı bulunamadı. Bu, alan adınızın DNSSEC için düzgün yapılandırılmadığı anlamına gelir.
HRJ

Yanıtlar:


7

Bu web sitesi: https://pointless.net/

İmzalanmış ve bir TLSA kaydı (kullanır dnssec mı RFC6698 (ayrıca tarafından imzalanmış SSL sertifikası sabitlemek için) CA CERT , güven CA'nın açık kaynak web bir tür).

Kendi ad sunucularımı çalıştırıyorum ve kayıt kuruluşum olarak Easydns kullanıyorum - ancak Easydns, .net bölgesine bir DS kaydı koymayı desteklemiyor, bu nedenle ISC Etki Alanı Lookaside Doğrulama hizmetini (DLV) ücretsiz ve kullanılan güven bağlantısı olarak kullanıyorum DNSSEC doğrulama çözümleyicilerinin çoğunluğu tarafından. Ayrıca diğer bazı alanlar için gkg.net kullanıyorum ve düzgün DNSSEC yapmayı destekliyorlar.

Şu anda hiçbir web tarayıcısının (bildiğim kadarıyla) TLSA kayıtlarını doğrulamak için yerel desteği yoktur , ancak firefox için bir TLSA doğrulama eklentisi alabilirsiniz , ancak bazı dns aramalarında asılı kalır.

Bu yaz DNSSEC ve EMFCamp Hackercamp ile ilgili konularda bir konuşma yaptım , notlarım ve link dökümü EMFCamp wiki'sinde .

Not: Bunu okuyorsanız ve DNSSEC ve TLSA'nın zaman kaybı olduğunu düşünüyorsanız , Çin'in Büyük Güvenlik Duvarı'nın nasıl sızdığıyla ilgili bu makaleyi okuyun .

Özet sorularınızı cevaplamak için:

Buradaki herhangi bir kişi, alan adı kaydından DNS sunucularının yapılandırmasına kadar DNSSEC ile bir web sitesi kurmuş mu, aslında DNSSEC ile tamamen güvenli bir çalışan web sitesine sahip mi?

Evet

Tarayıcı tarafından yalnızca tek bir doğru sertifikanın doğrulanabildiğinden emin olmak için DNSSEC'i SSL sertifikalarıyla başarılı bir şekilde entegre etti ve tüm hileli SSL sertifikalarının veya kalifiye olmayan ad sertifikalarının reddedileceğini mi?

Evet

Yukarıda belirtilen kayıt şirketlerinden herhangi birini tavsiye edebilir misiniz?

gkg.net

Yukarıda belirtilmeyen herhangi bir kayıt şirketi önerebilir mi?

dlv.isc.org, tam olarak bir kayıt şirketi olmasa da, dnssec'i desteklemeyen kayıt şirketleri üzerinde çalışmanıza izin verir.

İyi bir deneyim var mı? Kötü bir deneyim?

dersler öğrenildi:

  • Eğer kendi dns sunucuları çalıştırırsanız gerekir dnssec anahtar rollover'larını yönetmek için bazı yazılım kullanmak, kullandığım ZKT imzalayıcısı .
  • DNS sunucusu yazılımının aynı parçasına hem yetkili bir sunucu hem de doğrulayıcı bir çözümleyici olamazsınız - reklam ve aa bayrakları çakışıyor, ad sunucumun çözümleyici olmasını engellemek, localhost'tan ayırmak ve bunun yerine localhost üzerinde kullanmak zorunda kaldım .

güncellemeleri:

Bu, mevcut oyun durumunun iyi bir yaz mevsimi

13 Aralık 2012'de güncelleme:

Şimdi tüm alan adlarım için gkg.net kullanıyorum . Hala isc dlv hizmetini kullanıyorum, ama artık gerçekten buna ihtiyacım yok.

güncelleme 15 Eyl 2014

Şimdi gandi.net kullanıyorum


2

DNSSEC ile kişisel deneyimim yok, bu yüzden gerçekten herhangi bir öneri yapamıyorum, ancak ICANN sitesindeki bu bağlantı DNSSEC için destek bildirmiş olan mevcut kayıt sahiplerinin bir listesini gösteriyor:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Teşekkürler. Bu listeyi zaten okudum (soruda bahsetmeyi unuttum, belki tamlık için ekleyeceğim) ama bu listeyle ilgili sorun destek seviyesinin tamamen bilinmemesidir. Örneğin Go Daddy listeleniyor ancak DNSSEC'in ek ücret ödemeniz gereken premium bir özellik olduğu anlaşılıyor ve pratikte nasıl çalıştığını bilmiyorum. Name.com listelenir, DynDNS listelenir, easyDNS listelenir, ancak sorumdaki bilgilere bakın. Hangi kayıt şirketlerinin DNSSEC'yi tam olarak desteklediğini veya bunu ne kadar uygun hale getirdiklerini bulmak zor ve bu yüzden kişisel deneyim istiyorum.
rsp
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.