Problème simplifié
Je souhaite acheter un domaine et créer un site Internet entièrement sécurisé avec DNSSEC .
Je veux m'assurer que seul le bon certificat SSL pourrait être validé par les navigateurs et tous les certificats SSL voyous ou les certificats pour les noms non qualifiés seraient rejetés.
Où puis-je acheter un domaine? Comment dois-je acheter un certificat? (Ou dois-je utiliser un certificat auto-signé avec DNSSEC à la place des autorités de certification?) Où puis-je héberger DNS? Quels fournisseurs rendent l'ensemble du processus le plus pratique, le plus abordable, le plus complet, le plus professionnel, le plus robuste, le plus sûr?
Contexte
J'entends parler de l'insécurité du DNS depuis des années. J'ai regardé toutes les conférences de Dan Kaminsky et d'autres, des exploits DNS à L'avenir du panneau de sécurité DNS . Je savais que l'utilisation du DNS sans sécurité est une catastrophe qui attend de se produire. J'ai suivi le développement de la norme DNSSEC. J'ai célébré la cérémonie de signature des clés .
Pendant ce temps, j'ai lu des milliers de certificats SSL émis pour des noms non qualifiés et des certificats SSL escrocs émis pour la CIA, le MI6, le Mossad et de nombreuses autres histoires comme celle-ci montrant des problèmes avec la mise en œuvre actuelle de sites Web sécurisés avec SSL qui pourraient être résolus par DNSSEC (voir: A Jalon Internet majeur: DNSSEC et SSL et DNSSEC pour corriger le désordre SSL? Et validation du certificat SSL et DNSSEC ). Tout était sur la bonne voie pour enfin avoir un système DNS sécurisé en place.
Et maintenant, plus de 2 ans plus tard, je voulais juste faire ce que tout le monde disait que je devais faire: utiliser DNSSEC pour un nouveau domaine. J'ai donc besoin d'un registraire de domaine et d'un service d'hébergement DNS qui prend en charge DNSSEC. Étonnamment, il n'est pas si facile de savoir qui prend en charge DNSSEC et dans quelle mesure. Il était en fait beaucoup plus facile de trouver des informations sur DNSSEC il y a deux ans, lorsque tout le monde allait soutenir DNSSEC très bientôt maintenant, mais maintenant des années ont passé et je ne vois pratiquement aucun progrès. J'espère juste que je regardais au mauvais endroit et que quelqu'un ici vous expliquera gentiment tous les doutes.
J'espère que d'autres personnes qui souhaitent avoir un site Web sécurisé trouveront également cette question utile.
Ce qui est necessaire
- registraire et serveurs DNS avec prise en charge complète de DNSSEC pour les
.com
domaines - intégration de DNSSEC avec des certificats SSL
Ce qui n'est pas nécessaire
- Prise en charge IPv6
- hébergement Web
- rien de plus
Ce que j'ai découvert jusqu'à présent
- Go Daddy offre un service DNS Premium pour 36 $ supplémentaires par an qui vous permet de "sécuriser jusqu'à 5 domaines avec DNSSEC".
- easyDNS a DNSSEC disponible en version bêta à tous les niveaux de service (vous devez activer le drapeau "bêta" dans la configuration), mais il ne semble pas être prêt pour la production et à en juger par le manque de mises à jour, ce n'est pas une fonctionnalité de la plus haute priorité ( la dernière mise à jour de mars 2011 sur le blog easyDNS).
- Name.com - selon The Register ( le registraire de domaine américain utilise IPv6, DNSSEC ), il prend en charge DNSSEC depuis 2010, mais en ce moment (octobre 2012), je n'ai rien trouvé concernant DNSSEC sur leur site Web.
- Dynadot qui est très souvent recommandé ne prend pas en charge DNSSEC
- Namecheap qui est également souvent recommandé ne prend pas en charge DNSSEC. La réponse du support de 2011 suggérait son ajout, mais en 2012, aucun ETA n'est encore accordé aux clients .
- DynDNS était censé prendre en charge DNSSEC, j'ai trouvé un lien expliquant la prise en charge de DNSSEC mais il donne la page 404 Introuvable et propose une boîte de recherche - lors de la recherche de DNSSEC j'obtiens "Aucun résultat n'a été trouvé pour votre requête."
- GKG a été recommandé en ligne pour le support DNSSEC mais il est difficile de trouver des informations sur le niveau de support DNSSEC - il y a une brève explication sur ce qu'est DNSSEC et comment signer les enregistrements de signataire de délégation dans leur FAQ mais aucune information sur le niveau de support réel ne peut être trouvé.
- Demandez à Slashdot: quels bureaux d'enregistrement prennent en charge DNSSEC? à partir de juillet 2011 - Liste des réponses Go Daddy, DynDNS, GKG, Name.com en tant que bureaux d'enregistrement prenant en charge DNSSEC mais: voir ci-dessus .
- Les bureaux d'enregistrement qui prennent en charge la gestion DNSSEC de l'utilisateur final, y compris la saisie des enregistrements DS par l'ICANN (merci à Rob de me le rappeler ) - le problème avec cette liste est que le niveau de support est inconnu, le fait de savoir si vous devez payer pour DNSSEC supplémentaire les frais ne sont pas mentionnés, sans parler de la commodité d'acheter, de configurer et d'héberger des domaines entièrement sécurisés avec DNSSEC et SSL.
- Liste des bureaux d'enregistrement .ORG qui ont réussi OT&E pour DNSSEC publiée par le registre d'intérêt public - beaucoup de bureaux d'enregistrement mais ils sont répertoriés pour la
.org
prise en charge des TLD et comme ils le disent: "Cela n'indique pas si le bureau d'enregistrement a activé un service DNSSEC pour les inscrits Veuillez contacter directement les bureaux d'enregistrement pour leur service DNSSEC. " - Comment sécuriser et signer votre domaine avec DNSSEC à l'aide des registraires de domaine par l' Internet Society (merci à Nick de l' avoir signalé) n'en répertorie actuellement que deux qui prennent en charge le
.com
TLD sur la liste des "Registrars prenant en charge DNSSEC pour l'enregistrement et l'hébergement". Go Daddy (avec un supplément de 36 $ / an) et Dyn (avec un supplément de 330 $ / an) . Voir Comment signer votre domaine avec DNSSEC en utilisant Dyn, Inc et Comment signer votre domaine avec DNSSEC en utilisant GoDaddy.com pour plus de détails.
Questions connexes
- Comment trouver un hébergement web qui réponde à mes exigences?
- Que faut-il pour ajouter DNSSEC à mon site?
- Hébergement DNS mieux géré par le fournisseur de domaine ou le fournisseur d'hébergement?
- Registrar avec une bonne sécurité, un hébergement DNS et des résolveurs DNSSEC et IPv6?
Non. 1 personne ne mentionne jamais DNS du tout. Non. 2 réponses ne mentionnent que le .se
TLD, il y a très peu de réponses et elles semblent très dépassées. Non. 3 une réponse dit "Sur les projets qui exigent une sécurité plus élevée, je pourrais chercher un hébergeur qui prend en charge DNSSEC" mais aucune autre information n'est fournie.
Les seules réponses pertinentes sont non. 4 où easyDNS est recommandé par quelqu'un qui ne les a jamais utilisés personnellement. Pendant ce temps, depuis octobre 2012, le support de DNSSEC est décrit comme "en version bêta" sur la liste des fonctionnalités d'easyDNS . Un autre recommande SiteGround, mais la recherche de DNSSEC sur leur site ne renvoie aucun résultat. D'autres réponses recommandent des fournisseurs d'hébergement Web qui ne répondent pas aux exigences de prise en charge DNSSEC. De plus, la question mentionnée ci-dessus énumère 9 exigences très spécifiques autres que DNSSEC (comme par exemple les cookies de connexion HTTP uniquement, les authentifications à deux facteurs, aucune limite d'enregistrement DNS, les statistiques DNS des requêtes / jour, les pistes d'audit, etc.) qui auraient pu exclure de nombreuses recommandations possibles si l'on ne s'intéresse qu'au support DNSSEC.
Conclusions
Est-il possible que le pionnier de l'adoption de DNSSEC soit Go Daddy et que tous les services DNS "experts" ne soient pas encore prêts?
Je pensais que d'ici la fin de 2012, le soutien de DNSSEC parmi les registraires de domaine et les fournisseurs DNS serait presque universel. Je suis choqué que le soutien semble pratiquement inexistant. Est-ce le résultat de graves problèmes avec l'adoption de DNSSEC? Ou n'est-ce pas un sujet brûlant et que personne ne dérange plus? Selon le tableau de bord DNSSEC, environ 0,1% des .com
domaines prennent en charge DNSSEC. Cela pourrait-il être dû au manque de prise en charge DNSSEC parmi les bureaux d'enregistrement et les fournisseurs DNS, les informations sont-elles trop difficiles à trouver ou peut-être que personne ne s'en soucie? Il n'y a même pas de balise "dnssec" ici.
Sommaire
L'information est étonnamment difficile à trouver. C'est pourquoi je demande une expérience de première main et des recommandations personnelles.
Quelqu'un ici a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web fonctionnel entièrement sécurisé avec DNSSEC?
Quelqu'un a-t-il réussi à intégrer DNSSEC avec des certificats SSL pour s'assurer que seul le bon certificat pourrait être validé par le navigateur et que tous les certificats SSL ou certificats pour les noms non qualifiés seraient rejetés?
Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?
Quelqu'un peut-il recommander un registraire non mentionné ci-dessus?
Une bonne expérience? Mauvaise expérience?
xxx.yyy
par votre domaine dans le lien. Cependant, cette page signale deux erreurs pour moi: 1. Aucun enregistrement DNSKEY pris en charge n'a été trouvé dans DNS. Cela signifie généralement que vos serveurs de noms ne sont pas correctement configurés pour DNSSEC. et 2. Aucun enregistrement DNSSEC n'a été trouvé au registre. Cela signifie que votre domaine n'est pas correctement configuré pour DNSSEC.