Comment trouver un registraire de domaine et un hébergement DNS avec un bon support DNSSEC?


17

Problème simplifié

Je souhaite acheter un domaine et créer un site Internet entièrement sécurisé avec DNSSEC .

Je veux m'assurer que seul le bon certificat SSL pourrait être validé par les navigateurs et tous les certificats SSL voyous ou les certificats pour les noms non qualifiés seraient rejetés.

Où puis-je acheter un domaine? Comment dois-je acheter un certificat? (Ou dois-je utiliser un certificat auto-signé avec DNSSEC à la place des autorités de certification?) Où puis-je héberger DNS? Quels fournisseurs rendent l'ensemble du processus le plus pratique, le plus abordable, le plus complet, le plus professionnel, le plus robuste, le plus sûr?

Contexte

J'entends parler de l'insécurité du DNS depuis des années. J'ai regardé toutes les conférences de Dan Kaminsky et d'autres, des exploits DNS à L'avenir du panneau de sécurité DNS . Je savais que l'utilisation du DNS sans sécurité est une catastrophe qui attend de se produire. J'ai suivi le développement de la norme DNSSEC. J'ai célébré la cérémonie de signature des clés .

Pendant ce temps, j'ai lu des milliers de certificats SSL émis pour des noms non qualifiés et des certificats SSL escrocs émis pour la CIA, le MI6, le Mossad et de nombreuses autres histoires comme celle-ci montrant des problèmes avec la mise en œuvre actuelle de sites Web sécurisés avec SSL qui pourraient être résolus par DNSSEC (voir: A Jalon Internet majeur: DNSSEC et SSL et DNSSEC pour corriger le désordre SSL? Et validation du certificat SSL et DNSSEC ). Tout était sur la bonne voie pour enfin avoir un système DNS sécurisé en place.

Et maintenant, plus de 2 ans plus tard, je voulais juste faire ce que tout le monde disait que je devais faire: utiliser DNSSEC pour un nouveau domaine. J'ai donc besoin d'un registraire de domaine et d'un service d'hébergement DNS qui prend en charge DNSSEC. Étonnamment, il n'est pas si facile de savoir qui prend en charge DNSSEC et dans quelle mesure. Il était en fait beaucoup plus facile de trouver des informations sur DNSSEC il y a deux ans, lorsque tout le monde allait soutenir DNSSEC très bientôt maintenant, mais maintenant des années ont passé et je ne vois pratiquement aucun progrès. J'espère juste que je regardais au mauvais endroit et que quelqu'un ici vous expliquera gentiment tous les doutes.

J'espère que d'autres personnes qui souhaitent avoir un site Web sécurisé trouveront également cette question utile.

Ce qui est necessaire

  • registraire et serveurs DNS avec prise en charge complète de DNSSEC pour les .comdomaines
  • intégration de DNSSEC avec des certificats SSL

Ce qui n'est pas nécessaire

  • Prise en charge IPv6
  • hébergement Web
  • rien de plus

Ce que j'ai découvert jusqu'à présent

Questions connexes

  1. Comment trouver un hébergement web qui réponde à mes exigences?
  2. Que faut-il pour ajouter DNSSEC à mon site?
  3. Hébergement DNS mieux géré par le fournisseur de domaine ou le fournisseur d'hébergement?
  4. Registrar avec une bonne sécurité, un hébergement DNS et des résolveurs DNSSEC et IPv6?

Non. 1 personne ne mentionne jamais DNS du tout. Non. 2 réponses ne mentionnent que le .seTLD, il y a très peu de réponses et elles semblent très dépassées. Non. 3 une réponse dit "Sur les projets qui exigent une sécurité plus élevée, je pourrais chercher un hébergeur qui prend en charge DNSSEC" mais aucune autre information n'est fournie.

Les seules réponses pertinentes sont non. 4 où easyDNS est recommandé par quelqu'un qui ne les a jamais utilisés personnellement. Pendant ce temps, depuis octobre 2012, le support de DNSSEC est décrit comme "en version bêta" sur la liste des fonctionnalités d'easyDNS . Un autre recommande SiteGround, mais la recherche de DNSSEC sur leur site ne renvoie aucun résultat. D'autres réponses recommandent des fournisseurs d'hébergement Web qui ne répondent pas aux exigences de prise en charge DNSSEC. De plus, la question mentionnée ci-dessus énumère 9 exigences très spécifiques autres que DNSSEC (comme par exemple les cookies de connexion HTTP uniquement, les authentifications à deux facteurs, aucune limite d'enregistrement DNS, les statistiques DNS des requêtes / jour, les pistes d'audit, etc.) qui auraient pu exclure de nombreuses recommandations possibles si l'on ne s'intéresse qu'au support DNSSEC.

Conclusions

Est-il possible que le pionnier de l'adoption de DNSSEC soit Go Daddy et que tous les services DNS "experts" ne soient pas encore prêts?

Je pensais que d'ici la fin de 2012, le soutien de DNSSEC parmi les registraires de domaine et les fournisseurs DNS serait presque universel. Je suis choqué que le soutien semble pratiquement inexistant. Est-ce le résultat de graves problèmes avec l'adoption de DNSSEC? Ou n'est-ce pas un sujet brûlant et que personne ne dérange plus? Selon le tableau de bord DNSSEC, environ 0,1% des .comdomaines prennent en charge DNSSEC. Cela pourrait-il être dû au manque de prise en charge DNSSEC parmi les bureaux d'enregistrement et les fournisseurs DNS, les informations sont-elles trop difficiles à trouver ou peut-être que personne ne s'en soucie? Il n'y a même pas de balise "dnssec" ici.

Sommaire

L'information est étonnamment difficile à trouver. C'est pourquoi je demande une expérience de première main et des recommandations personnelles.

Quelqu'un ici a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web fonctionnel entièrement sécurisé avec DNSSEC?

Quelqu'un a-t-il réussi à intégrer DNSSEC avec des certificats SSL pour s'assurer que seul le bon certificat pourrait être validé par le navigateur et que tous les certificats SSL ou certificats pour les noms non qualifiés seraient rejetés?

Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?

Quelqu'un peut-il recommander un registraire non mentionné ci-dessus?

Une bonne expérience? Mauvaise expérience?


Grande question. Je ne peux pas offrir de recommandation personnelle, mais cette liste de PIR présente un groupe à jour de fournisseurs DNSSEC, dont certains ne sont pas mentionnés dans votre liste jusqu'à présent. L'Internet Society a également un guide sur la signature de domaines avec DNSSEC avec un nombre restreint mais croissant de bureaux d'enregistrement.
Nick

J'aurais dû mentionner que les guides de l'Internet Society mentionnent tous les prix, ils sont donc assez utiles. Il semble que DNSSEC soit un service premium parmi tous les bureaux d'enregistrement pour le moment.
Nick

Merci @Nick, j'ai ajouté les informations de vos liens à la question.
rsp

1
Cette liste ( frankb.us/dns ) de serveurs secondaires / esclaves gratuits (avec indication s'ils prennent en charge DNSSEC) semble être un point de départ utile si vous décidez que payer Dyn Inc. 30 $ / mois est trop cher pour un ou deux domaines, et que vous ne voulez tout simplement pas y aller avec GoDaddy, mais préférez rouler vous-même les services DNS avec une sauvegarde à distance (ce que je ferai probablement pour mes domaines personnels, même si j'utiliserais probablement Dyn Inc. pour une publicité projet). Quand je l'aurai installé, j'écrirai mes expériences dans une réponse ici.
Alex Dupuy

J'ai un domaine .info de Name.com. Ils ont maintenant une page séparée pour la gestion DNSSEC. Remplacez xxx.yyypar votre domaine dans le lien. Cependant, cette page signale deux erreurs pour moi: 1. Aucun enregistrement DNSKEY pris en charge n'a été trouvé dans DNS. Cela signifie généralement que vos serveurs de noms ne sont pas correctement configurés pour DNSSEC. et 2. Aucun enregistrement DNSSEC n'a été trouvé au registre. Cela signifie que votre domaine n'est pas correctement configuré pour DNSSEC.
HRJ

Réponses:


7

Ce site Web: https://pointless.net/

Est-ce que dnssec est signé et utilise un enregistrement TLSA ( RFC6698 ) pour sécuriser le certificat SSL (qui est également signé par CA CERT , une sorte d'autorité de certification Web open source de confiance).

J'exécute mes propres serveurs de noms et j'utilise Easydns comme bureau d'enregistrement. Cependant, Easydns ne prend pas en charge la mise en place d'un enregistrement DS dans la zone .net, j'utilise donc le service ISV de validation de domaine ISC (DLV) comme ancre de confiance, qui est gratuite et utilisée. par la majorité des résolveurs de validation DNSSEC. J'utilise également gkg.net pour certains autres domaines et ils prennent en charge correctement DNSSEC.

Actuellement, aucun navigateur Web (pour autant que je sache) ne prend en charge nativement la validation des enregistrements TLSA, mais vous pouvez obtenir un module complémentaire de validation TLSA pour Firefox, mais il se bloque sur certaines recherches DNS.

J'ai fait un exposé sur DNSSEC et les questions connexes au EMFCamp Hackercamp cet été, mes notes et vidage de lien sont sur le wiki EMFCamp .

PS Si vous lisez ceci et pensez que DNSSEC et TLSA sont une perte de temps, alors lisez cet article sur la façon dont le grand pare-feu de Chine fuit .

Donc pour répondre à vos questions sommaires:

Quelqu'un ici a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web fonctionnel entièrement sécurisé avec DNSSEC?

Oui

Quelqu'un a-t-il réussi à intégrer DNSSEC avec des certificats SSL pour s'assurer que seul le bon certificat pourrait être validé par le navigateur et que tous les certificats SSL ou certificats pour les noms non qualifiés seraient rejetés?

Oui

Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?

gkg.net

Quelqu'un peut-il recommander un registraire non mentionné ci-dessus?

dlv.isc.org, bien qu'il ne s'agisse pas exactement d'un bureau d'enregistrement, il vous permet de contourner les bureaux d'enregistrement qui ne prennent pas en charge dnssec.

Une bonne expérience? Mauvaise expérience?

leçons apprises:

  • Si vous exécutez vos propres serveurs DNS, vous devez utiliser un logiciel pour gérer les survols de clés dnssec, j'utilise zkt signer .
  • vous ne pouvez pas avoir le même logiciel serveur DNS à la fois un serveur faisant autorité et un résolveur de validation - l'annonce et les drapeaux s'affrontent, j'ai dû empêcher mon serveur de noms d'être un résolveur, le dissocier de localhost et utiliser non lié sur localhost à la place .

mises à jour:

Ceci est un bon résumé de l' état actuel des choses

mise à jour 13 décembre 2012:

J'utilise maintenant gkg.net pour tous mes domaines. J'utilise toujours le service isc dlv, mais je n'en ai plus vraiment besoin.

mise à jour 15 sept. 2014

J'utilise maintenant Gandi.net


2

Je n'ai pas d'expérience personnelle avec DNSSEC, je ne peux donc pas vraiment faire de recommandations, mais ce lien du site de l'ICANN affiche une liste des bureaux d'enregistrement actuels qui ont signalé un soutien pour DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment


Merci. J'ai déjà lu cette liste (j'ai oublié de le mentionner dans la question, je vais peut-être l'ajouter pour être complet) mais le problème avec cette liste est que le niveau de support est complètement inconnu. Par exemple, Go Daddy est répertorié, mais il semble que DNSSEC soit une fonctionnalité premium pour laquelle vous devez payer des frais supplémentaires et je ne sais pas comment cela fonctionne dans la pratique. Name.com est répertorié, DynDNS est répertorié, easyDNS est répertorié, mais consultez les informations dans ma question. Il est difficile de trouver quels bureaux d'enregistrement prennent pleinement en charge DNSSEC ou à quel point ils le rendent pratique et c'est pourquoi je pose des questions sur l'expérience personnelle.
rsp
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.