it-swarm.com.de

Wie finde ich Domain-Registrare und DNS-Hosting mit guter DNSSEC-Unterstützung?

Vereinfachtes Problem

Ich möchte eine Domain kaufen und eine Website erstellen, die mit DNSSEC vollständig gesichert ist.

Ich möchte sicherstellen, dass nur das eine richtige SSL-Zertifikat von den Browsern überprüft werden kann und alle nicht autorisierte SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen abgelehnt werden.

Wo kann ich eine Domain kaufen? Wo soll ich ein Zertifikat kaufen? (Oder sollte ich ein selbstsigniertes Zertifikat mit DNSSEC anstelle von Zertifizierungsstellen verwenden?) Wo kann ich DNS hosten? Welche Anbieter machen den gesamten Prozess am bequemsten, kostengünstigsten, vollständigsten, professionellsten, robustesten und sichersten?

Hintergrund

Ich habe seit Jahren von der Unsicherheit von DNS gehört. Ich habe gesehen alle Vorträge von Dan Kaminsky und andere von DNS Exploits bis Die Zukunft des DNS Security Panels . Ich wusste, dass die Verwendung von DNS ohne Sicherheit eine Katastrophe ist, die darauf wartet, passiert zu werden. Ich habe die Entwicklung des DNSSEC-Standards verfolgt. Ich feierte die Schlüsselunterzeichnungszeremonie .

In der Zwischenzeit las ich über Tausende von SSL-Zertifikaten für nicht qualifizierte Namen und Schurken-SSL-Zertifikate für CIA, MI6, Mossad und viele andere Geschichten, die Probleme mit der aktuellen Implementierung von zeigen Mit SSL gesicherte Websites, die durch DNSSEC gelöst werden könnten (siehe: Ein wichtiger Internet-Meilenstein: DNSSEC und SSL und DNSSEC, um das SSL-Durcheinander zu beheben? und SSL-Zertifikat) Validierung und DNSSEC ). Alles war auf dem richtigen Weg, um endlich ein sicheres DNS-System zu haben.

Und jetzt, mehr als zwei Jahre später, wollte ich einfach das tun, was alle sagten: DNSSEC für eine neue Domain verwenden. Also brauche ich einen Domain-Registrar und einen DNS-Hosting-Service, der DNSSEC unterstützt. Überraschenderweise ist es gar nicht so einfach herauszufinden, wer DNSSEC in welchem ​​Umfang unterstützt. Vor zwei Jahren war es tatsächlich viel einfacher, Informationen zu DNSSEC zu finden, als alle in Kürze DNSSEC unterstützten. Jetzt vergingen jedoch Jahre, und ich sehe kaum Fortschritte. Ich hoffe nur, dass ich nur an den falschen Stellen gesucht habe und jemand hier wird mir freundlich alle Zweifel erklären.

Ich hoffe, dass andere Leute, die eine sichere Website haben möchten, diese Frage ebenfalls nützlich finden.

Was wird benötigt

  • Registrar- und DNS-Server mit vollständiger DNSSEC-Unterstützung für .com -Domains
  • integration von DNSSEC mit SSL-Zertifikaten

Was wird nicht benötigt

  • IPv6-Unterstützung
  • Web-Hosting
  • etwas mehr

Was ich bisher herausgefunden habe

Verwandte Fragen

  1. Wie finde ich ein Webhosting, das meinen Anforderungen entspricht?
  2. Was wird benötigt, um DNSSEC zu meiner Site hinzuzufügen?
  3. DNS-Hosting besser vom Domain-Provider oder Hosting-Provider verwaltet?
  4. Registrar mit guter Sicherheit, DNS-Hosting und DNSSEC- und IPv6-Resolvern?

In nein. 1 Niemand erwähnt jemals DNS. In nein. 2 Antworten erwähnen nur die TLD .se, es gibt nur sehr wenige Antworten und sie scheinen sehr veraltet zu sein. In nein. In einer Antwort heißt es: "Bei Projekten, die eine höhere Sicherheit erfordern, suche ich möglicherweise nach einem Webhost, der DNSSEC unterstützt." Es werden jedoch keine weiteren Informationen bereitgestellt.

Die einzig relevanten Antworten sind in nein. 4 where easyDNS wird von jemandem empfohlen, der sie noch nie persönlich benutzt hat. In der Zwischenzeit, ab Oktober 2012, wird die Unterstützung von DNSSEC als "in Beta" am die easyDNS-Funktionsliste beschrieben. Ein anderer empfiehlt SiteGround , aber das Durchsuchen der Site nach DNSSEC liefert keine Ergebnisse. Andere Antworten empfehlen Webhosting-Anbieter, die die Anforderungen des DNSSEC-Supports nicht erfüllen. In der oben genannten Frage sind außerdem 9 sehr spezifische Anforderungen aufgeführt, die nicht nur DNSSEC betreffen (wie z. B. Nur-HTTP-Anmelde-Cookies, Zwei-Faktor-Authentifizierungen, keine DNS-Eintragsbeschränkungen, DNS-Statistiken für Abfragen/Tag, Prüfpfade usw.) viele mögliche Empfehlungen, wenn man nur an DNSSEC-Unterstützung interessiert ist.

Schlussfolgerungen

Ist es möglich, dass Go Daddy der Pionier der DNSSEC-Einführung ist und alle "Experten" -DNS-Dienste noch nicht bereit sind?

Ich dachte, dass die Unterstützung von DNSSEC durch Domain-Registrare und DNS-Anbieter bis Ende 2012 nahezu universell sein würde. Ich bin schockiert, dass die Unterstützung so gut wie nicht vorhanden zu sein scheint. Ist dies das Ergebnis einiger schwerwiegender Probleme bei der Einführung von DNSSEC? Oder ist es einfach kein heißes Thema und es stört niemanden mehr? Laut dem DNSSEC Scoreboard unterstützen ungefähr 0,1% der .com -Domains DNSSEC. Könnte dies an der mangelnden DNSSEC-Unterstützung bei Registraren und DNS-Anbietern liegen, sind die Informationen zu schwer zu finden oder interessiert sich niemand dafür? Es gibt hier sogar kein "dnssec" -Tag.

Zusammenfassung

Die Informationen sind überraschend schwer zu finden. Deshalb bitte ich um Erfahrungen aus erster Hand und um persönliche Empfehlungen.

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser validiert werden kann und alle nicht autorisierten SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen Abgelehnt werden?

Kann jemand einen der oben genannten Registrare empfehlen?

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?

17
rsp

Diese Website: https://pointless.net/

Ist dnssec-signiert und verwendet einen TLSA-Eintrag ( RFC6698 ), um das SSL-Zertifikat zu sichern (das auch von CA CERT , einer Art Open-Source-Web-of-Trust-CA, signiert ist).

Ich betreibe meine eigenen Nameserver und verwende Easydns als Registrar. Easydns unterstützt jedoch nicht das Einfügen eines DS -Datensatzes in die .net-Zone. Daher verwende ich den ISC Domain Lookaside Validation Service ( DLV) als Vertrauensanker, der kostenlos ist und von der Mehrheit der DNSSEC-validierenden Resolver verwendet wird. Ich verwende gkg.net auch für einige andere Domains und sie unterstützen es, DNSSEC richtig zu machen.

Derzeit unterstützt (soweit mir bekannt ist) kein Webbrowser die Prüfung von TLSA-Einträgen. Sie können jedoch ein TLSA validating add-on für Firefox erhalten, das jedoch bei einigen DNS-Lookups hängt.

Ich habe diesen Sommer einen Vortrag über DNSSEC und verwandte Themen im EMFCamp Hackercamp gehalten. Meine Notizen und mein Link-Dump befinden sich im EMFCamp-Wiki .

P.S. Wenn Sie dies lesen und denken, dass DNSSEC und TLSA Zeitverschwendung sind, lesen Sie dies Artikel darüber, wie die Great Firewall of China ausläuft .

So beantworten Sie Ihre zusammenfassenden Fragen:

Hat hier jemand eine Website mit DNSSEC eingerichtet, von der Domainregistrierung über die Konfiguration von DNS-Servern bis hin zu einer funktionierenden Website, die vollständig mit DNSSEC gesichert ist?

ja

Hat jemand DNSSEC erfolgreich in SSL-Zertifikate integriert, um sicherzustellen, dass nur das eine richtige Zertifikat vom Browser validiert werden kann und alle nicht autorisierten SSL-Zertifikate oder Zertifikate für nicht qualifizierte Namen Abgelehnt werden?

ja

Kann jemand einen der oben genannten Registrare empfehlen?

gkg.net

Kann jemand einen Registrar empfehlen, der oben nicht erwähnt wurde?

dlv.isc.org ist zwar kein Registrar, aber Sie können damit Registrare umgehen, die dnssec nicht unterstützen.

Irgendwelche guten Erfahrungen? Schlechte Erfahrung?

gewonnene Erkenntnisse:

  • Wenn Sie Ihre eigenen DNS-Server betreiben, müssen Sie eine Software zum Verwalten der DNSSEC-Schlüssel-Rollover verwenden. Ich verwende zkt signer .
  • sie können nicht dasselbe DNS-Server-Programm haben, das sowohl ein autorisierender Server als auch ein überprüfender Auflöser ist - die Anzeige und ein Flag kollidieren, ich musste meinen Nameserver davon abhalten, ein Auflöser zu sein, ihn von localhost zu lösen und stattdessen ungebunden auf localhost zu verwenden .

aktualisierung:

Dies ist eine gute Zusammenfassung des aktuellen Stand der Dinge

update 13. Dezember 2012:

Ich benutze jetzt gkg.net für alle meine Domains. Ich benutze immer noch den isc dlv Dienst, aber ich brauche ihn nicht mehr wirklich.

update 15. September 2014

Ich benutze jetzt gandi.net

7
JasperWallace

Ich habe keine persönlichen Erfahrungen mit DNSSEC und kann daher keine Empfehlungen aussprechen, aber dieser Link von der ICANN-Website zeigt eine Liste der aktuellen Registrare, die Unterstützung für DNSSEC gemeldet haben:

http://www.icann.org/en/news/in-focus/dnssec/deployment

2
Rob