Basitleştirilmiş sorun
Bir alan adı satın almak ve DNSSEC ile tamamen güvenli bir web sitesi yapmak istiyorum .
Yalnızca tek bir doğru SSL sertifikasının tarayıcılar tarafından doğrulanabildiğinden ve tüm hileli SSL sertifikalarının veya niteliksiz adlara ilişkin sertifikaların reddedileceğinden emin olmak istiyorum.
Etki alanını nereden satın alabilirim? Sertifika almalı mıyım? (Yoksa CA'lar yerine DNSSEC ile kendinden imzalı bir sertifika kullanmalı mıyım ?) DNS'yi nerede barındırabilirim? Hangi sağlayıcılar tüm süreci en uygun, en uygun fiyatlı, en eksiksiz, en profesyonel, en sağlam, en güvenli hale getirir?
Arka fon
Yıllardır DNS'nin güvensizliğini duyuyorum . Ben izledim Dan Kaminsky tarafından görüşmelerin tüm gelen ve diğerleri , DNS patlatır için DNS Güvenlik Paneli geleceği . DNS'yi güvenliksiz kullanmanın gerçekleşmeyi bekleyen bir felaket olduğunu biliyordum. DNSSEC standardının gelişimini izledim. Anahtar imza törenini kutladım .
Bu arada , Niteliksiz İsimlere Verilen Binlerce SSL Sertifikası ve CIA, MI6, Mossad ve SSL ile güvenli hale getirilmiş web sitelerinin DNSSEC tarafından çözülebilecek mevcut uygulamalarıyla ilgili sorunlar gösteren diğer birçok hikaye için yayınlanan SSL Sertifikalarını okudum (bkz: A Başlıca İnternet Milestone: DNSSEC ve SSL ve DNSSEC SSL karışıklık düzeltmek için? ve SSL sertifikası geçerlilik ve DNSSEC ). Sonunda güvenli bir DNS sistemine sahip olmak için her şey doğru yoldaydı.
Ve şimdi 2 yıldan fazla bir süre sonra herkesin yapmam gerektiğini söylediğini yapmak istedim: DNSSEC'yi yeni bir alan adı için kullanmak. Bu yüzden bir etki alanı kaydedicisine ve DNSSEC'yi destekleyen bir DNS barındırma hizmetine ihtiyacım var. Şaşırtıcı bir şekilde DNSSEC'yi kimin ve ne ölçüde desteklediğini bulmak o kadar kolay değil. Herkes ne zaman İki yıl önce aslında DNSSEC hakkında bilgi bulmak çok daha kolay oldu olacak Şimdi ama şimdi Yakında geçirilen yıllar DNSSEC Real, desteklemek ve ben neredeyse hiç ilerleme yapmış bakın. Umarım sadece yanlış yerlere bakıyordum ve buradaki birisi tüm şüpheleri açıklayacaktır.
Güvenli bir web sitesine sahip olmak isteyen diğer kişilerin de bu soruyu yararlı bulacağını umuyorum.
İhtiyaç duyulan şey
.cometki alanları için tam DNSSEC desteğine sahip kayıt şirketi ve DNS sunucuları- DNSSEC'nin SSL sertifikalarıyla entegrasyonu
Ne gerekli değil
- IPv6 desteği
- ağ sağlayıcısı
- bir şey daha
Şimdiye kadar ne buldum
- Go Daddy , "DNSSEC ile 5 adede kadar alan adının güvenliğini sağlamanızı" sağlayan yıllık 36 ABD doları tutarında Premium DNS hizmeti sunar .
- easyDNS , tüm hizmet seviyelerinde Beta'da DNSSEC'e sahiptir (yapılandırmada "beta" bayrağını etkinleştirmeniz gerekir), ancak üretime hazır görünmüyor ve güncelleme eksikliğinden yola çıkarak en yüksek önceliğe sahip bir özellik değil ( Mart 2011'den itibaren son güncelleme EasyDNS üzerine) blog.
- Name.com - The Register'a göre ( ABD alan adı kayıt şirketi IPv6, DNSSEC ) 2010'dan beri DNSSEC desteğine sahip ancak şu anda (Ekim 2012) Web sitelerinde DNSSEC ile ilgili hiçbir şey bulamadım.
- Çok sık önerilen Dynadot DNSSEC'yi desteklemez
- Sıklıkla önerilen namecheap DNSSEC'yi desteklemez. 2011 yılından destek cevabı o eklenmekte önerdi ancak 2012 yılında yine hiçbir ETA müşterilere verilir .
- DynDNS'nin DNSSEC'yi desteklemesi gerekiyordu, DNSSEC desteğini açıklayan bir bağlantı buldum, ancak 404 Bulunamadı sayfasını veriyor ve bir arama kutusu sunuyor - DNSSEC'yi ararken "Sorgunuz için sonuç bulunamadı."
- GKG , DNSSEC desteği için çevrimiçi olarak önerildi , ancak DNSSEC desteğinin seviyesi hakkında herhangi bir bilgi bulmak zor - DNSSEC'nin ne olduğu ve SSS'lerinde Delegasyon İmzalayıcı kayıtlarının nasıl imzalanacağı hakkında kısa bir açıklama var, ancak gerçek destek seviyesi hakkında hiçbir bilgi bulunan.
- Slashdot'a sorun: Hangi Kayıt Kuruluşları DNSSEC'yi destekliyor? Temmuz 2011 - Yanıt listesi DNSSEC'yi destekleyen ancak: yukarıya bakın .
- DS kayıtlarının giriş dahil destek son kullanıcı DNSSEC yönetimi, bu Registrars ICANN tarafından (sayesinde Rob için bu konuda bana hatırlatan ) - problem bu liste ile desteğin düzeyi DNSSEC ek için ödeme zorunda olmadığını, aslında bilinmeyen olmasıdır DNSSEC ve SSL ile tamamen güvence altına alınmış alan adlarını satın alma, yapılandırma ve barındırmanın rahatlığı bir yana, ücretlerden bahsedilmez.
- Kamu Yararı Sicili tarafından yayımlanan DNSSEC için OT&E'yi geçen .ORG Kayıt Şirketleri listesi - bir çok kayıt
.orgşirketi ancak TLD desteği için listelenmiş ve şöyle diyorlar: "Bu, kayıt kuruluşunun kayıtçılar için bir DNSSEC hizmetini etkinleştirip etkinleştirmediğini göstermez. DNSSEC servisleri için lütfen doğrudan kayıt şirketleriyle iletişime geçin. " - Güvenli ve alan kaydı Kullanma Alan ile DNSSEC Sign Nasıl tarafından Internet Society'nin (sayesinde Nick , o anda ona işaret için) listeleri sadece iki desteğin
.comyani "Kayıt İçin DNSSEC Destekleme ve Barındırma Registrars" listesinde TLD. Baba (yıllık 36 $ ek ücret ile) ve Dyn (yıllık 330 $ ek ücret ile) gidin . Bkz DNSSEC Dyn, Inc Kullanarak ile Kişisel Domain Sign Nasıl ve Alan ile DNSSEC GoDaddy.com kullanarak yapın Nasıl detaylar için.
İlgili sorular
- Nasıl web benim gereksinimleri karşılayan barındırma bulmak için?
- Siteme DNSSEC eklemek için neye ihtiyacım var?
- DNS barındırma daha iyi Domain sağlayıcısı veya Hosting sağlayıcısı tarafından mı yönetiliyor?
- İyi güvenlik, DNS barındırma ve DNSSEC ve IPv6 çözümleyicileri olan kayıt şirketi?
Hayır. 1 Hiç kimse DNS'den hiç bahsetmiyor. Hayır. 2 cevap sadece .seTLD'den bahsediyor, çok az cevap var ve çok eski görünüyorlar. Hayır. 3 bir yanıt "Daha yüksek güvenlik gerektiren projelerde DNSSEC'yi destekleyen bir web barındırma hizmeti arayabilirim" diyor, ancak daha fazla bilgi verilmiyor.
Sadece ilgili cevaplar hayır. 4 easyDNS , daha önce hiç kişisel olarak kullanmayan biri tarafından önerilmektedir. Bu arada, Ekim 2012 itibariyle, DNSSEC desteği easyDNS özellik listesinde "beta sürümünde" olarak tanımlanmaktadır . Bir diğeri SiteGround'u önerir, ancak sitelerinde DNSSEC araması sonuç vermez. Diğer yanıtlar DNSSEC desteği gereksinimlerini karşılamayan web barındırma sağlayıcılarını önerir. Ayrıca yukarıda bahsedilen soru, yalnızca DNSSEC dışında (örneğin, yalnızca HTTP giriş çerezleri, iki faktörlü kimlik doğrulama, DNS kayıt limiti yok, sorguların / günlük DNS istatistikleri, denetim izleri vb.) 9 çok özel gereksinimi listelemektedir. yalnızca DNSSEC desteğiyle ilgileniyorsa birçok olası öneri.
Sonuçlar
DNSSEC'nin benimsenmesinin öncüsünün Go Daddy olması mümkün ve "uzman" DNS hizmetlerinin tümü henüz hazır değil mi?
2012 sonunda DNSSEC'nin alan adı kayıt kuruluşları ve DNS sağlayıcıları arasındaki desteğinin neredeyse evrensel olacağını düşündüm. Desteğin neredeyse yokmuş gibi görünmesinden şok oldum. Bu DNSSEC'nin benimsenmesi ile ilgili bazı ciddi sorunların bir sonucu mu? Yoksa konu sadece sıcak bir konu değil ve artık kimse rahatsız etmiyor mu? DNSSEC Skor Tablosuna göre , .comalan adlarının yaklaşık% 0,1'i DNSSEC'yi desteklemektedir. Bu, kayıt şirketleri ve DNS sağlayıcıları arasında DNSSEC desteğinin bulunmamasından kaynaklanıyor olabilir, bilgileri bulmak çok zor mu yoksa hiç kimsenin umurunda değil mi? Burada "dnssec" etiketi bile yok.
özet
Bilgiyi bulmak şaşırtıcı derecede zordur. Bu yüzden ilk elden deneyim ve kişisel öneriler istiyorum.
Buradaki herhangi bir kişi, alan adı kaydından DNS sunucularının yapılandırmasına kadar DNSSEC ile bir web sitesi kurmuş mu, aslında DNSSEC ile tamamen güvenli bir çalışan web sitesine sahip mi?
Tarayıcı tarafından yalnızca tek bir doğru sertifikanın doğrulanabildiğinden emin olmak için DNSSEC'i SSL sertifikalarıyla başarılı bir şekilde entegre etti ve tüm hileli SSL sertifikalarının veya kalifiye olmayan ad sertifikalarının reddedileceğini mi?
Yukarıda belirtilen kayıt şirketlerinden herhangi birini tavsiye edebilir misiniz?
Yukarıda belirtilmeyen herhangi bir kayıt şirketi önerebilir mi?
İyi bir deneyim var mı? Kötü bir deneyim?
xxx.yyyBağlantıdaki alan adınızla değiştirin . Ancak, bu sayfa benim için iki hata bildirdi: 1. DNS'de desteklenen bir DNSKEY kaydı bulunamadı. Bu genellikle ad sunucularınızın DNSSEC için düzgün yapılandırılmadığı anlamına gelir. ve 2. Kayıt defterinde DNSSEC kaydı bulunamadı. Bu, alan adınızın DNSSEC için düzgün yapılandırılmadığı anlamına gelir.