我想购买一个域名并建立一个使用DNSSEC完全保护的网站。
我想确保仅可以验证一个正确的SSL证书被浏览器拒绝,所有流氓SSL证书或不合格名称的证书将被拒绝。
我在哪里可以购买域名?我应该买证书的鲸鱼吗? (或者我应该使用带有DNSSEC的自签名证书而不是CA?)我可以在哪里托管DNS?哪些提供商使整个过程最便捷,最实惠,最完整,最专业,最可靠,最安全?
背景
我一直在听说DNS多年。我已经看过Dan Kaminsky和其他人的所有演讲,从DNS漏洞到
DNS安全小组的未来。
我知道在没有安全性的情况下使用DNS真是一场灾难。
我关注DNSSEC标准的制定。我庆祝了签字仪式。
同时,我读到有关颁发给不合格名称和恶意Rogue SSL证书的成千上万的SSL证书针对CIA,MI6,Mossad以及其他许多故事的内容,这些问题表明了目前使用SSL保护的网站实施中存在的问题,这些问题可以由DNSSEC解决(请参阅:一个主要的互联网里程碑:DNSSEC和SSL和DNSSEC来修复SSL混乱?以及SSL证书验证和DNSSEC)。一切都在正确的轨道上,终于有了一个安全的DNS系统。
现在,两年多以后,我只想做每个人都应该做的事情:将DNSSEC用于新域。因此,我需要一个域名注册商和一个支持DNSSEC的DNS托管服务。令人惊讶的是,要找出谁支持DNSSEC以及支持的程度还不是那么容易。实际上,两年前每个人都将要支持DNSSEC时,在DNSSEC上查找信息要容易得多,但是现在已经过去了几年,我几乎看不到任何进展。我只是希望我只是在错误的地方寻找,这里的人会请所有的疑问解释。
我希望其他想要拥有一个安全网站的人也会发现这个问题有用。
需要什么
注册商和DNS服务器,它们对
.com
域提供完全的DNSSEC支持DNSSEC与SSL证书的集成
不需要什么
IPv6支持
Web托管
更多
到目前为止我发现的内容
Go Daddy每年额外提供$ 36的高级DNS服务,使您“使用DNSSEC保护多达5个域”。
easyDNS在Beta中提供DNSSEC跨所有服务级别(您需要在配置中启用“ beta”标志),但它似乎尚未准备好投入生产,并且从缺乏更新的情况来看,它并不是最高优先级的功能(2011年3月以来的最新更新在easyDNS博客上)。
Name.com-根据The Reg姐姐(美国域名注册商使用IPv6,DNSSEC)自2010年以来一直支持DNSSEC,但现在(2012年10月)我在他们的网站上找不到与DNSSEC相关的任何内容。
不支持DNSSEC
还经常建议使用Namecheap不支持DNSSEC。 2011年的支持答复表明已添加该支持,但2012年仍未向客户提供ETA。
DynDNS应该支持DNSSEC,我找到了一个解释DNSSEC支持的链接,但它提供了404 Not Found页面,并提供了一个搜索框-在搜索DNSSEC时,我得到“找不到查询结果”。
建议在网上推荐GKG以获取DNSSEC支持,但是很难找到有关DNSSEC支持级别的任何信息-在他们的FAQ中对什么是DNSSEC以及如何对委派签名人记录进行简要说明,但没有有关实际支持水平的信息可以找到。
问Slashdot:哪些注册服务商支持DNSSEC?从2011年7月开始-答复列表将Daddy,DynDNS,GKG,Name.com作为支持DNSSEC的注册商,但是:请参见上文。
支持最终用户DNSSEC管理的注册商,包括ICANN输入DS记录(感谢Rob提醒我)-此列表的问题在于支持级别未知,没有提及您是否必须支付DNSSEC额外费用的事实,更不用说购买,配置和托管域的便利了完全通过DNSSEC和SSL进行保护。
通过了公共利益注册管理机构(OTP)发布的DNSSEC OT&E的.ORG注册商名单-很多注册商,但它们被列出来获得
.org
TLD支持,他们说: “这并不表示注册服务商是否已为注册人启用DNSSEC服务。请直接与注册服务商联系以获取其DNSSEC服务。” 如何通过使用域名注册商的DNSSEC保护和签名您的域名互联网协会(感谢尼克的指点它))在“支持DNSSEC进行注册和托管的注册服务商”列表中,目前仅列出了两个支持
.com
TLD的设备。 Go Daddy(每年36美元的额外费用)和Dyn(每年330美元的额外费用)。有关详细信息,请参见如何使用Dyn,Inc.使用DNSSEC签名域和如何使用GoDaddy.com使用DNSSEC签名域。相关问题
如何找到满足我要求的网络托管?
将DNSSEC添加到我的网站需要什么?
由域名提供商或托管提供商更好地管理DNS托管?
具有良好安全性的注册器,DNS托管以及DNSSEC和IPv6解析器?
1没有人提到DNS。
没有。 2个答案仅提及
.se
TLD,答案很少,而且看起来很过时。没有。 3一个答案说:“在要求更高安全性的项目中,我可能会寻找支持DNSSEC的Web主机”,但没有提供更多信息。
唯一的相关答案为否。 4从未使用过DNS的人推荐使用easyDNS。同时,从2012年10月起,在easyDNS功能列表中将DNSSEC的支持描述为“测试版”。
另一种建议是SiteGround,但在其站点中搜索DNSSEC不会返回任何结果。其他答案推荐不满足DNSSEC支持要求的网络托管提供商。此外,上面提到的问题列出了9个非常具体的要求,而不仅仅是DNSSEC(例如,仅HTTP登录cookie,两因素身份验证,没有DNS记录限制,每天查询的DNS统计信息,审计跟踪等),这些要求可能已排除在外。如果仅对DNSSEC支持感兴趣,则有许多可能的建议。
结论
是否有可能采用DNSSEC的先驱将是Go Daddy和所有“专家” DNS服务还没准备好吗?
我认为到2012年底,域名注册商和DNS提供商对DNSSEC的支持将几乎普及。令我震惊的是,几乎没有这种支持。这是采用DNSSEC时遇到的一些严重问题的结果吗?还是不是一个热门话题,没有人再烦恼了?根据DNSSEC计分板,大约qq1202079q域中约有0.1%支持DNSSEC。可能是由于注册服务商和DNS提供商之间缺乏DNSSEC支持所导致,信息是否太难找到或者也许没人在乎?这里甚至没有“ dnssec”标签。
摘要
信息令人惊讶地很难找到。这就是为什么我需要第一手经验和个人建议。
这里是否有人实际上已经在DNSSEC上建立了一个网站,从域名注册到DNS服务器的配置,到实际上可以正常工作用DNSSEC完全保护的网站?
是否有人成功将DNSSEC与SSL证书集成在一起,以确保浏览器只能验证一个正确的证书,而所有流氓SSL证书或不合格的证书都可以被验证。名称会被拒绝吗?
有人可以推荐上述任何注册服务商吗?
有人可以推荐任何上述未提及的注册服务商吗?
任何好的经验?不好的经历?
#1 楼
该网站:https://pointless.net/dnssec是否已签名,并使用TLSA记录(RFC6698)来保护SSL证书(CA CERT也是一种开放源Web签名)
我运行自己的名称服务器,并使用Easydns作为我的注册商-但是Easydns不支持将DS记录放入.net区域,因此我使用ISC域后备验证服务( DLV)作为信任锚,它是免费的,并且由大多数DNSSEC验证解析器使用。我还在其他一些域中使用gkg.net,它们确实支持正确执行DNSSEC。
目前,没有网络浏览器(据我所知)不具有验证TLSA记录的本机支持,但是您可以获取用于Firefox的TLSA验证插件,但是它挂在某些dns查找上。
今年夏天,我在EMFCamp Hackercamp上进行了DNSSEC和相关事宜的讨论,我的笔记和链接转储在EMFCamp Wiki。
PS如果您正在阅读此书,并且认为DNSSEC和TLSA浪费时间,那么请阅读本文,了解中国防火墙的泄漏情况。
因此回答您的简要问题:
这里有没有人真正通过DNSSEC建立一个网站,从域名注册到DNS服务器的配置,到实际上拥有一个可以完全通过DNSSEC保护的正常工作的网站?
是
是否有人成功将DNSSEC与SSL证书集成在一起,以确保浏览器只能验证一个正确的证书,而所有流氓SSL证书或不合格名称的证书都可以验证会被拒绝吗?
是
任何人都可以推荐上述任何注册服务商吗?
gkg.net
任何人都可以推荐上面未提及的任何注册商吗?
dlv.isc.org,尽管它并非完全是注册商吗?使您可以解决不支持dns的注册商秒。
有什么好的经验吗?不好的经验吗?
经验教训:
如果运行自己的dns服务器,则必须使用某些软件来管理dnssec密钥过渡,我使用zkt签名者。
您不能将同一台DNS服务器软件同时用作权威服务器和验证解析器-ad和aa标志冲突,我不得不阻止我的域名服务器成为解析器,将其解除绑定
更新:
这是当前游戏状态的很好总结。
2012年12月13日更新:
我现在对所有域都使用gkg.net。我仍在使用isc dlv服务,但我真的不再需要它。
更新2014年9月15日
我现在正在使用gandi.net
#2 楼
我没有DNSSEC的个人经验,因此无法真正提出任何建议,但是ICANN站点上的此链接显示了报告了对DNSSEC支持的当前注册服务商的列表:http:/ /www.icann.org/en/news/in-focus/dnssec/deployment
评论
谢谢。我已经阅读了此列表(我忘记在问题中提到它了,也许为了完整起见我会添加它),但是此列表的问题在于支持级别是完全未知的。例如,列出了“ Go Daddy”,但DNSSEC似乎是一项高级功能,您必须为此支付额外费用,我不知道它在实践中如何工作。列出了Name.com,列出了DynDNS,列出了easyDNS,但请参阅我的问题中的信息。很难找到哪些注册服务商完全支持DNSSEC或它们如何方便地这样做,这就是为什么我要询问个人经验。
–rsp
2012年10月12日在8:46
评论
好问题。我无法提供个人推荐,但是PIR的此列表提供了一组最新的DNSSEC提供程序,到目前为止,您的列表中未提及其中一些。互联网协会(Internet Society)还提供了有关使用DNSSEC对域名进行注册的指南,该指南的注册服务商数量虽小但在不断增加。应该提到的是,互联网协会的指南都提到了定价,因此它们非常有用。看来DNSSEC是目前所有注册服务商中的一项优质服务。
感谢@Nick,我已经从您的链接中添加了该问题的信息。
如果您决定向Dyn Inc.支付30美元/月的费用对于一个或两个域来说过于昂贵,此免费的辅助/从属服务器列表(frankb.us/dns)(指示它们是否支持DNSSEC)似乎是一个有用的起点。您只是不想与GoDaddy一起使用,而是希望自己通过一些远程备份来推出DNS服务(尽管我可能会使用Dyn Inc.进行商业交易,但我可能会为我的个人域做这件事)项目)。设置好之后,我将在这里写下我的经验。
我有一个来自Name.com的.info域。他们现在有一个单独的页面,用于DNSSEC管理。在链接中用您的域替换xxx.yyy。但是,该页面为我报告了两个错误:1.在DNS中找不到受支持的DNSKEY记录。这通常意味着您的名称服务器未正确配置DNSSEC。 2.在注册表中未找到DNSSEC记录。这意味着您的域未正确配置DNSSEC。