Bagaimana menemukan pendaftar domain dan hosting DNS dengan dukungan DNSSEC yang baik?

Masalah yang disederhanakan

Saya ingin membeli domain dan membuat situs web yang sepenuhnya diamankan dengan DNSSEC .

Saya ingin memastikan bahwa hanya sertifikat SSL yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak.

Di mana saya bisa membeli domain? Bagaimana saya harus membeli sertifikat? (Atau haruskah saya menggunakan sertifikat yang ditandatangani sendiri dengan DNSSEC dan bukan CA?) Di mana saya dapat meng-host DNS? Penyedia mana yang membuat keseluruhan proses menjadi paling nyaman, paling terjangkau, paling lengkap, paling profesional, paling kuat, paling aman?

Latar Belakang

Saya telah mendengar tentang ketidakamanan DNS selama bertahun-tahun. Saya telah menyaksikan semua pembicaraan oleh Dan Kaminsky dan lainnya dari eksploitasi DNS ke Masa Depan Panel Keamanan DNS . Saya tahu bahwa menggunakan DNS tanpa keamanan adalah bencana yang menunggu untuk terjadi. Saya mengikuti pengembangan standar DNSSEC. Saya merayakan upacara penandatanganan kunci .

Sementara itu saya membaca tentang Ribuan Sertifikat SSL Dikeluarkan Untuk Nama Tidak Berkualitas dan Rogue Sertifikat SSL Dikeluarkan Untuk CIA, MI6, Mossad dan banyak kisah lain seperti itu yang menunjukkan masalah dengan implementasi situs web yang saat ini diamankan dengan SSL yang dapat diselesaikan oleh DNSSEC (lihat: A Tonggak Internet Besar: DNSSEC dan SSL dan DNSSEC untuk memperbaiki kekacauan SSL? Dan validasi sertifikat SSL dan DNSSEC ). Semuanya ada di jalur yang benar untuk akhirnya memiliki sistem DNS yang aman.

Dan sekarang lebih dari 2 tahun kemudian saya ingin melakukan apa yang semua orang katakan harus saya lakukan: gunakan DNSSEC untuk domain baru. Jadi saya memerlukan pendaftar domain dan layanan hosting DNS yang mendukung DNSSEC. Anehnya tidak mudah untuk mengetahui siapa yang mendukung DNSSEC dan sejauh mana. Sebenarnya jauh lebih mudah untuk menemukan info tentang DNSSEC dua tahun lalu ketika semua orang akan segera mendukung DNSSEC Real Now, tetapi sekarang bertahun-tahun berlalu dan saya hampir tidak melihat adanya kemajuan yang dilakukan. Saya hanya berharap bahwa saya hanya melihat di tempat yang salah dan seseorang di sini dengan ramah akan menjelaskan semua keraguan.

Saya harap orang lain yang ingin memiliki situs web yang aman juga akan menemukan pertanyaan ini bermanfaat.

Apa yang dibutuhkan

registrar dan server DNS dengan dukungan penuh DNSSEC untuk .comdomain
integrasi DNSSEC dengan sertifikat SSL

Apa yang tidak dibutuhkan

Dukungan IPv6
Hosting web
Apapun lagi

Apa yang saya temukan sejauh ini

Go Daddy menawarkan layanan DNS Premium dengan tambahan $ 36 per tahun yang memungkinkan Anda "Mengamankan hingga 5 domain dengan DNSSEC".
easyDNS memiliki DNSSEC yang tersedia dalam Beta di semua tingkat layanan (Anda perlu mengaktifkan bendera "beta" dalam konfigurasi) tetapi tampaknya tidak siap produksi dan menilai dari kurangnya pembaruan, itu bukan fitur prioritas tertinggi ( yang update terakhir dari Maret 2011 di EasyDNS blog).
Name.com - menurut The Register ( pendaftar domain AS melakukan IPv6, DNSSEC ) memiliki dukungan DNSSEC sejak 2010 tetapi sekarang (Oktober 2012) saya tidak dapat menemukan apa pun yang berhubungan dengan DNSSEC di situs web mereka.
Dynadot yang sangat sering direkomendasikan tidak mendukung DNSSEC
Namecheap yang juga sering direkomendasikan tidak mendukung DNSSEC. The dukungan jawaban dari 2011 menyarankan bahwa itu ditambahkan tetapi pada tahun 2012 masih ada ETA diberikan kepada pelanggan .
DynDNS seharusnya mendukung DNSSEC, saya menemukan tautan yang menjelaskan dukungan DNSSEC tetapi memberikan 404 Tidak Ditemukan halaman dan menawarkan kotak pencarian - ketika mencari DNSSEC saya mendapatkan "Tidak ada hasil yang ditemukan untuk permintaan Anda."
GKG direkomendasikan online untuk dukungan DNSSEC tetapi sulit untuk menemukan informasi tentang tingkat dukungan DNSSEC - ada penjelasan singkat tentang apa itu DNSSEC dan bagaimana cara menandatangani catatan Penandatangan Delegasi dalam FAQ mereka tetapi tidak ada informasi tentang tingkat dukungan aktual yang dapat ditemukan.
Tanyakan Slashdot: Pencatat mana yang Mendukung DNSSEC? dari Juli 2011 - Daftar jawaban Buka Ayah, DynDNS, GKG, Name.com sebagai pendaftar yang mendukung DNSSEC tetapi: lihat di atas .
Pendaftar yang mendukung manajemen pengguna DNSSEC pengguna akhir, termasuk entri catatan DS oleh ICANN (terima kasih kepada Rob untuk mengingatkan saya tentang hal itu ) - masalah dengan daftar ini adalah bahwa tingkat dukungan tidak diketahui, fakta apakah Anda harus membayar DNSSEC tambahan biaya tidak disebutkan, apalagi kenyamanan membeli, mengonfigurasi dan hosting domain yang sepenuhnya dijamin dengan DNSSEC dan SSL.
Daftar .ORG Pendaftar yang telah lulus OT&E untuk DNSSEC yang diterbitkan oleh Public Interest Registry - banyak pendaftar tetapi mereka terdaftar untuk .orgdukungan TLD dan seperti yang mereka katakan: "Ini tidak menunjukkan apakah pendaftar telah mengaktifkan layanan DNSSEC untuk pendaftar Silakan hubungi pendaftar langsung untuk layanan DNSSEC mereka. "
Cara Mengamankan Dan Menandatangani Domain Anda Dengan DNSSEC Menggunakan Pendaftar Domain oleh Internet Society (terima kasih kepada Nick karena menunjukkannya) saat ini hanya mencantumkan dua yang mendukung .comTLD pada daftar "Pendaftar yang Mendukung DNSSEC Untuk Registrasi dan Hosting" yaitu. Go Daddy (dengan biaya tambahan $ 36 / tahun) dan Dyn (dengan biaya tambahan $ 330 / tahun) . Lihat Cara Menandatangani Domain Anda Dengan DNSSEC Menggunakan Dyn, Inc dan Cara Menandatangani Domain Anda Dengan DNSSEC Menggunakan GoDaddy.com untuk detailnya.

Pertanyaan-pertanyaan Terkait

Dalam no. 1 tidak ada yang menyebut DNS sama sekali. Dalam no. 2 jawaban hanya menyebutkan .seTLD, ada sangat sedikit jawaban dan mereka tampaknya sangat ketinggalan jaman. Dalam no. 3 satu jawaban mengatakan "Pada proyek yang menuntut keamanan yang lebih tinggi, saya mungkin mencari host web yang mendukung DNSSEC" tetapi tidak ada informasi lebih lanjut yang disediakan.

Satu-satunya jawaban yang relevan adalah dalam no. 4 di mana easyDNS direkomendasikan oleh seseorang yang belum pernah menggunakannya secara pribadi. Sementara itu, pada Oktober 2012, dukungan DNSSEC digambarkan sebagai "dalam versi beta" pada daftar fitur easyDNS . Yang lain merekomendasikan SiteGround tetapi mencari situs mereka untuk DNSSEC tidak menghasilkan apa-apa. Jawaban lain merekomendasikan penyedia hosting web yang tidak memenuhi persyaratan dukungan DNSSEC. Juga pertanyaan yang disebutkan di atas mencantumkan 9 persyaratan yang sangat spesifik selain hanya DNSSEC (seperti cookie masuk HTTP saja, otentikasi dua faktor, tidak ada batasan catatan DNS, statistik DNS kueri / hari, jalur audit, dll.) Yang mungkin telah dikecualikan banyak rekomendasi yang mungkin jika seseorang hanya tertarik pada dukungan DNSSEC.

Kesimpulan

Apakah mungkin pelopor adopsi DNSSEC adalah Go Daddy dan semua layanan DNS "ahli" belum siap?

Saya berpikir bahwa pada akhir 2012, dukungan DNSSEC di antara pendaftar domain dan penyedia DNS akan menjadi hampir universal. Saya terkejut bahwa dukungan tersebut tampaknya tidak ada. Apakah ini akibat dari beberapa masalah serius dengan adopsi DNSSEC? Atau apakah itu bukan topik hangat dan tidak ada yang mengganggu lagi? Menurut Papan Skor DNSSEC kira-kira sekitar 0,1% dari .comdomain mendukung DNSSEC. Mungkinkah itu disebabkan oleh kurangnya dukungan DNSSEC di antara para pendaftar dan penyedia DNS, apakah informasinya terlalu sulit untuk ditemukan atau mungkin tidak ada yang peduli? Bahkan tidak ada tag "dnssec" di sini.

Ringkasan

Informasi ini sangat sulit ditemukan. Itulah sebabnya saya meminta pengalaman langsung dan rekomendasi pribadi.

Adakah orang di sini yang benar-benar membuat situs web dengan DNSSEC, dari pendaftaran domain hingga konfigurasi server DNS, hingga benar-benar memiliki situs web yang berfungsi yang sepenuhnya diamankan dengan DNSSEC?

Adakah yang berhasil mengintegrasikan DNSSEC dengan sertifikat SSL untuk memastikan bahwa hanya satu sertifikat yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak?

Adakah yang bisa merekomendasikan pendaftar yang disebutkan di atas?

Adakah yang bisa merekomendasikan registrar yang tidak disebutkan di atas?

Adakah pengalaman bagus? Pengalaman buruk?

— rsp
sumber

Pertanyaan bagus Saya tidak dapat menawarkan rekomendasi pribadi, tetapi daftar dari PIR ini menampilkan grup penyedia DNSSEC terkini, beberapa di antaranya belum disebutkan dalam daftar Anda sejauh ini. Internet Society juga memiliki panduan tentang penandatanganan domain dengan DNSSEC dengan jumlah pendaftar yang kecil namun terus bertambah.

— Nick

Seharusnya disebutkan bahwa semua panduan Internet Society menyebutkan harga, jadi mereka cukup berguna. Tampaknya DNSSEC adalah layanan premium di antara semua pendaftar saat ini.

— Nick

Terima kasih @Nick Saya telah menambahkan informasi dari tautan Anda ke pertanyaan.

— rsp

Daftar ini ( frankb.us/dns ) server sekunder / budak gratis (dengan indikasi apakah mereka mendukung DNSSEC) tampaknya seperti titik awal yang berguna jika Anda memutuskan bahwa membayar Dyn Inc. $ 30 / bulan terlalu mahal untuk satu atau dua domain, dan Anda hanya tidak ingin pergi ke sana dengan GoDaddy, tetapi lebih suka menggulung layanan DNS sendiri dengan beberapa cadangan jarak jauh (yang mungkin akan saya lakukan untuk domain pribadi saya, meskipun saya mungkin akan menggunakan Dyn Inc. untuk komersial proyek). Ketika saya mengaturnya, saya akan menuliskan pengalaman saya dalam jawaban di sini.

— Alex Dupuy

Saya memiliki domain .info dari Name.com. Mereka memiliki halaman terpisah sekarang untuk manajemen DNSSEC. Ganti xxx.yyydengan domain Anda di tautan. Namun, halaman itu melaporkan dua kesalahan untuk saya: 1. Tidak ada catatan DNSKEY yang didukung ditemukan di DNS. Ini biasanya berarti bahwa server nama Anda tidak dikonfigurasikan dengan benar untuk DNSSEC. dan 2. Tidak ada catatan DNSSEC yang ditemukan di registri. Ini berarti bahwa domain Anda tidak dikonfigurasi dengan benar untuk DNSSEC.

— HRJ

Situs web ini: https://pointless.net/

Apakah dnssec ditandatangani dan menggunakan catatan TLSA ( RFC6698 ) untuk mengamankan sertifikat SSL (Yang juga ditandatangani oleh CA CERT , semacam web sumber terbuka kepercayaan CA).

Saya menjalankan server nama saya sendiri dan menggunakan Easydns sebagai pendaftar saya - namun Easydns tidak mendukung menempatkan catatan DS di zona .net jadi saya menggunakan layanan Validasi Domain Lookaside (DLV) ISC Domain sebagai jangkar kepercayaan, yang gratis dan digunakan oleh mayoritas resolver DNSSEC memvalidasi. Saya juga menggunakan gkg.net untuk beberapa domain lain dan mereka mendukung DNSSEC dengan benar.

Saat ini tidak ada browser web (sejauh yang saya ketahui) memiliki dukungan asli untuk memvalidasi catatan TLSA namun Anda bisa mendapatkan add-on validasi TLSA untuk firefox, tetapi itu tergantung pada beberapa pencarian dns.

Saya melakukan pembicaraan tentang DNSSEC dan hal-hal terkait di EMFCamp Hackercamp musim panas ini, catatan dan dump tautan saya ada di wiki EMFCamp .

NB Jika Anda membaca ini dan berpikir DNSSEC dan TLSA adalah buang-buang waktu maka bacalah makalah ini tentang bagaimana Great Firewall of China Kebocoran .

Jadi untuk menjawab pertanyaan ringkasan Anda:

Adakah orang di sini yang benar-benar membuat situs web dengan DNSSEC, dari pendaftaran domain hingga konfigurasi server DNS, hingga benar-benar memiliki situs web yang berfungsi yang sepenuhnya diamankan dengan DNSSEC?

Iya

Adakah yang berhasil mengintegrasikan DNSSEC dengan sertifikat SSL untuk memastikan bahwa hanya satu sertifikat yang benar yang dapat divalidasi oleh browser dan semua sertifikat atau sertifikat SSL jahat untuk nama yang tidak memenuhi syarat akan ditolak?

Iya

Adakah yang bisa merekomendasikan pendaftar yang disebutkan di atas?

gkg.net

Adakah yang bisa merekomendasikan registrar yang tidak disebutkan di atas?

dlv.isc.org, walaupun ini bukan registrar, ini memungkinkan Anda bekerja di sekitar pendaftar yang tidak mendukung dnssec.

Adakah pengalaman bagus? Pengalaman buruk?

pelajaran yang didapat:

Jika Anda menjalankan server dns Anda sendiri, Anda harus menggunakan beberapa perangkat lunak untuk mengelola rollover kunci dnssec, saya menggunakan penandatangan zkt .
Anda tidak dapat memiliki bagian yang sama dari perangkat lunak server DNS menjadi server otoritatif dan penyelesai validasi - iklan dan a flag bentrokan, saya harus menghentikan server nama saya dari menjadi resolver, melepaskan ikatan dari localhost dan menggunakan unbound di localhost sebagai gantinya .

pembaruan:

Ini adalah ringkasan yang bagus dari kondisi permainan saat ini

pembaruan 13 Des 2012:

Saya sekarang menggunakan gkg.net untuk semua domain saya. Saya masih juga menggunakan layanan isc dlv, tapi saya tidak benar-benar membutuhkannya lagi.

perbarui 15 Sep 2014

Saya sekarang menggunakan gandi.net

— JasperWallace
sumber

Saya tidak memiliki pengalaman pribadi dengan DNSSEC sehingga tidak dapat membuat rekomendasi, tetapi tautan dari situs ICANN ini menunjukkan daftar pendaftar saat ini yang telah melaporkan dukungan untuk DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment

— rampok
sumber

Terima kasih. Saya sudah membaca daftar ini (saya lupa menyebutkannya dalam pertanyaan, mungkin saya akan menambahkannya untuk kelengkapan) tetapi masalah dengan daftar ini adalah bahwa level dukungan sama sekali tidak diketahui. Misalnya Go Daddy terdaftar tetapi tampaknya DNSSEC adalah fitur premium yang mengharuskan Anda membayar biaya tambahan dan saya tidak tahu cara kerjanya dalam praktiknya. Name.com terdaftar, DynDNS terdaftar, easyDNS terdaftar, tetapi lihat info di pertanyaan saya. Sulit untuk menemukan pendaftar mana yang sepenuhnya mendukung DNSSEC atau seberapa nyaman mereka membuatnya dan itu sebabnya saya bertanya tentang pengalaman pribadi.

— rsp