如何找到具有良好DNSSEC支持的域名注册商和DNS托管？

简化的问题

我想购买一个域名并建立一个使用DNSSEC完全保护的网站。

我想确保仅可以验证一个正确的SSL证书被浏览器拒绝，所有流氓SSL证书或不合格名称的证书将被拒绝。

我在哪里可以购买域名？我应该买证书的鲸鱼吗？ （或者我应该使用带有DNSSEC的自签名证书而不是CA？）我可以在哪里托管DNS？哪些提供商使整个过程最便捷，最实惠，最完整，最专业，最可靠，最安全？

背景

我一直在听说DNS多年。我已经看过Dan Kaminsky和其他人的所有演讲，从DNS漏洞到
DNS安全小组的未来。
我知道在没有安全性的情况下使用DNS真是一场灾难。
我关注DNSSEC标准的制定。我庆祝了签字仪式。

同时，我读到有关颁发给不合格名称和恶意Rogue SSL证书的成千上万的SSL证书针对CIA，MI6，Mossad以及其他许多故事的内容，这些问题表明了目前使用SSL保护的网站实施中存在的问题，这些问题可以由DNSSEC解决（请参阅：一个主要的互联网里程碑：DNSSEC和SSL和DNSSEC来修复SSL混乱？以及SSL证书验证和DNSSEC）。一切都在正确的轨道上，终于有了一个安全的DNS系统。

现在，两年多以后，我只想做每个人都应该做的事情：将DNSSEC用于新域。因此，我需要一个域名注册商和一个支持DNSSEC的DNS托管服务。令人惊讶的是，要找出谁支持DNSSEC以及支持的程度还不是那么容易。实际上，两年前每个人都将要支持DNSSEC时，在DNSSEC上查找信息要容易得多，但是现在已经过去了几年，我几乎看不到任何进展。我只是希望我只是在错误的地方寻找，这里的人会请所有的疑问解释。

我希望其他想要拥有一个安全网站的人也会发现这个问题有用。

需要什么


注册商和DNS服务器，它们对.com域提供完全的DNSSEC支持
DNSSEC与SSL证书的集成

不需要什么


IPv6支持
Web托管
更多

到目前为止我发现的内容



Go Daddy每年额外提供$ 36的高级DNS服务，使您“使用DNSSEC保护多达5个域”。

easyDNS在Beta中提供DNSSEC跨所有服务级别（您需要在配置中启用“ beta”标志），但它似乎尚未准备好投入生产，并且从缺乏更新的情况来看，它并不是最高优先级的功能（2011年3月以来的最新更新在easyDNS博客上）。

Name.com-根据The Reg姐姐（美国域名注册商使用IPv6，DNSSEC）自2010年以来一直支持DNSSEC，但现在（2012年10月）我在他们的网站上找不到与DNSSEC相关的任何内容。
不支持DNSSEC


还经常建议使用Namecheap不支持DNSSEC。 2011年的支持答复表明已添加该支持，但2012年仍未向客户提供ETA。

DynDNS应该支持DNSSEC，我找到了一个解释DNSSEC支持的链接，但它提供了404 Not Found页面，并提供了一个搜索框-在搜索DNSSEC时，我得到“找不到查询结果”。

建议在网上推荐GKG以获取DNSSEC支持，但是很难找到有关DNSSEC支持级别的任何信息-在他们的FAQ中对什么是DNSSEC以及如何对委派签名人记录进行简要说明，但没有有关实际支持水平的信息可以找到。

问Slashdot：哪些注册服务商支持DNSSEC？从2011年7月开始-答复列表将Daddy，DynDNS，GKG，Name.com作为支持DNSSEC的注册商，但是：请参见上文。

支持最终用户DNSSEC管理的注册商，包括ICANN输入DS记录（感谢Rob提醒我）-此列表的问题在于支持级别未知，没有提及您是否必须支付DNSSEC额外费用的事实，更不用说购买，配置和托管域的便利了完全通过DNSSEC和SSL进行保护。

通过了公共利益注册管理机构（OTP）发布的DNSSEC OT＆E的.ORG注册商名单-很多注册商，但它们被列出来获得.org TLD支持，他们说： “这并不表示注册服务商是否已为注册人启用DNSSEC服务。请直接与注册服务商联系以获取其DNSSEC服务。”

如何通过使用域名注册商的DNSSEC保护和签名您的域名互联网协会（感谢尼克的指点它））在“支持DNSSEC进行注册和托管的注册服务商”列表中，目前仅列出了两个支持.com TLD的设备。 Go Daddy（每年36美元的额外费用）和Dyn（每年330美元的额外费用）。有关详细信息，请参见如何使用Dyn，Inc.使用DNSSEC签名域和如何使用GoDaddy.com使用DNSSEC签名域。

相关问题


如何找到满足我要求的网络托管？
将DNSSEC添加到我的网站需要什么？
由域名提供商或托管提供商更好地管理DNS托管？
具有良好安全性的注册器，DNS托管以及DNSSEC和IPv6解析器？

1没有人提到DNS。
没有。 2个答案仅提及.se TLD，答案很少，而且看起来很过时。
没有。 3一个答案说：“在要求更高安全性的项目中，我可能会寻找支持DNSSEC的Web主机”，但没有提供更多信息。

唯一的相关答案为否。 4从未使用过DNS的人推荐使用easyDNS。同时，从2012年10月起，在easyDNS功能列表中将DNSSEC的支持描述为“测试版”。
另一种建议是SiteGround，但在其站点中搜索DNSSEC不会返回任何结果。其他答案推荐不满足DNSSEC支持要求的网络托管提供商。此外，上面提到的问题列出了9个非常具体的要求，而不仅仅是DNSSEC（例如，仅HTTP登录cookie，两因素身份验证，没有DNS记录限制，每天查询的DNS统计信息，审计跟踪等），这些要求可能已排除在外。如果仅对DNSSEC支持感兴趣，则有许多可能的建议。

结论

是否有可能采用DNSSEC的先驱将是Go Daddy和所有“专家” DNS服务还没准备好吗？

我认为到2012年底，域名注册商和DNS提供商对DNSSEC的支持将几乎普及。令我震惊的是，几乎没有这种支持。这是采用DNSSEC时遇到的一些严重问题的结果吗？还是不是一个热门话题，没有人再烦恼了？根据DNSSEC计分板，大约qq1202079q域中约有0.1％支持DNSSEC。可能是由于注册服务商和DNS提供商之间缺乏DNSSEC支持所导致，信息是否太难找到或者也许没人在乎？这里甚至没有“ dnssec”标签。

摘要

信息令人惊讶地很难找到。这就是为什么我需要第一手经验和个人建议。

这里是否有人实际上已经在DNSSEC上建立了一个网站，从域名注册到DNS服务器的配置，到实际上可以正常工作用DNSSEC完全保护的网站？

是否有人成功将DNSSEC与SSL证书集成在一起，以确保浏览器只能验证一个正确的证书，而所有流氓SSL证书或不合格的证书都可以被验证。名称会被拒绝吗？

有人可以推荐上述任何注册服务商吗？

有人可以推荐任何上述未提及的注册服务商吗？

任何好的经验？不好的经历？