Como encontrar registrador de domínio e hospedagem DNS com bom suporte DNSSEC?

Problema simplificado

Quero comprar um domínio e criar um site totalmente seguro com DNSSEC .

Quero garantir que apenas o certificado SSL certo possa ser validado pelos navegadores e que todos os certificados SSL não autorizados ou certificados para nomes não qualificados sejam rejeitados.

Onde posso comprar um domínio? Whare devo comprar um certificado? (Ou devo usar um certificado autoassinado com DNSSEC em vez de CAs?) Onde posso hospedar o DNS? Quais provedores tornam todo o processo mais conveniente, mais acessível, mais completo, mais profissional, mais robusto e mais seguro?

fundo

Eu tenho ouvido falar sobre a insegurança do DNS há anos. Eu assisti todas as conversas de Dan Kaminsky e outros, desde explorações de DNS até O futuro do painel de segurança de DNS . Eu sabia que usar o DNS sem segurança é um desastre esperando para acontecer. Eu segui o desenvolvimento do padrão DNSSEC. Comemorei a cerimônia de assinatura das chaves .

Enquanto isso, li sobre milhares de certificados SSL emitidos para nomes não qualificados e certificados inválidos emitidos para a CIA, MI6, Mossad e muitas outras histórias como essa, mostrando problemas com a implementação atual de sites protegidos com SSL que poderiam ser resolvidos pelo DNSSEC (consulte: A Marco principal da Internet: DNSSEC e SSL e DNSSEC para corrigir a bagunça SSL? E validação de certificado SSL e DNSSEC ). Tudo estava no caminho certo para finalmente ter um sistema DNS seguro.

E agora, mais de dois anos depois, eu queria fazer o que todo mundo dizia que eu deveria fazer: usar o DNSSEC para um novo domínio. Então, eu preciso de um registrador de domínio e um serviço de hospedagem DNS que suporte DNSSEC. Surpreendentemente, não é tão fácil descobrir quem suporta o DNSSEC e até que ponto. Na verdade, foi muito mais fácil de encontrar informações sobre DNSSEC dois anos atrás, quando todo mundo estava indo para suportar DNSSEC real logo agora, mas agora anos se passaram e eu quase não vê qualquer progresso feito. Só espero que eu esteja apenas procurando nos lugares errados e alguém aqui gentilmente explique todas as dúvidas.

Espero que outras pessoas que desejam ter um site seguro também achem essa pergunta útil.

O que é preciso

• registrador e servidores DNS com suporte DNSSEC completo para .comdomínios
• integração de DNSSEC com certificados SSL

O que não é necessário

• Suporte IPv6
• Hospedagem na Web
• algo mais

O que eu descobri até agora

• O Go Daddy oferece um serviço DNS Premium por US $ 36 adicionais por ano, que permite "Proteger até 5 domínios com DNSSEC".
• O easyDNS tem DNSSEC disponível na versão Beta em todos os níveis de serviço (é necessário ativar o sinalizador "beta" na configuração), mas ele não parece estar pronto para produção e, a julgar pela falta de atualizações, não é um recurso de alta prioridade ( a última atualização de março de 2011 no blog easyDNS).
• Name.com - de acordo com o The Register ( registrador de domínio dos EUA faz IPv6, DNSSEC ), ele tem suporte a DNSSEC desde 2010, mas no momento (outubro de 2012) não consegui encontrar nada relacionado ao DNSSEC em seu site.
• O Dynadot frequentemente recomendado não suporta DNSSEC
• O Namecheap que também é frequentemente recomendado não suporta DNSSEC. A resposta do suporte de 2011 sugeriu que ela estava sendo adicionada, mas em 2012 ainda não é dado ETA aos clientes .
• DynDNS deveria suportar DNSSEC, encontrei um link explicando o suporte DNSSEC, mas ele fornece a página 404 Não encontrado e oferece uma caixa de pesquisa - ao pesquisar por DNSSEC, recebo "Nenhum resultado foi encontrado para sua consulta".
• O GKG foi recomendado on-line para suporte ao DNSSEC, mas é difícil encontrar informações sobre o nível de suporte ao DNSSEC - há uma breve explicação sobre o que é o DNSSEC e como assinar os registros do Signatário da Delegação nas Perguntas frequentes, mas nenhuma informação sobre o nível do suporte real pode ser encontrado.
• Ask Slashdot: Quais registradores suportam DNSSEC? de julho de 2011 - lista de respostas Go Daddy, DynDNS, GKG, Name.com como registradores compatíveis com DNSSEC, mas: veja acima .
• Registradores que oferecem suporte ao gerenciamento DNSSEC do usuário final, incluindo a entrada de registros DS pela ICANN (obrigado Rob por me lembrar disso ) - o problema com esta lista é que o nível de suporte é desconhecido, se você precisa pagar pelo DNSSEC adicional as taxas não são mencionadas, muito menos a conveniência de comprar, configurar e hospedar domínios totalmente protegidos com DNSSEC e SSL.
• Lista de registradores .ORG que passaram na OT&E para DNSSEC publicados pelo Public Interest Registry - muitos registradores, mas estão listados para .orgsuporte a DPNs e como dizem: "Isso não indica se o registrador ativou um serviço DNSSEC para os registrantes . Entre em contato diretamente com os registradores para obter o serviço DNSSEC ".
• Como proteger e assinar seu domínio com DNSSEC Usando Registradores de Domínio pela Internet Society (obrigado por Nick por indicá-lo) atualmente lista apenas dois que suportam .comTLD na lista de "Registradores compatíveis com DNSSEC para registro e hospedagem", ie. Go Daddy (com uma taxa adicional de US $ 36 / ano) e Dyn (com uma taxa adicional de US $ 330 / ano) . Consulte Como assinar seu domínio com DNSSEC usando Dyn, Inc e Como assinar seu domínio com DNSSEC usando GoDaddy.com para obter detalhes.

Perguntas relacionadas

1. Como encontrar hospedagem na web que atenda aos meus requisitos?
2. O que é necessário para adicionar DNSSEC ao meu site?
3. Hospedagem DNS melhor gerenciada pelo provedor de domínio ou provedor de hospedagem?
4. Registrador com boa segurança, hospedagem DNS e resolvedores DNSSEC e IPv6?

No n. 1 ninguém nunca menciona DNS. No n. Duas respostas mencionam apenas o .seTLD, existem muito poucas e parecem muito desatualizadas. No n. 3 uma resposta diz "Em projetos que exigem maior segurança, posso procurar um host da Web que suporte DNSSEC", mas não há mais informações.

As únicas respostas relevantes estão no no. 4 onde o easyDNS é recomendado por alguém que nunca os usou pessoalmente. Enquanto isso, em outubro de 2012, o suporte ao DNSSEC é descrito como "em beta" na lista de recursos do easyDNS . Outro recomenda o SiteGround, mas a busca no DNSSEC no site não gera resultados. Outras respostas recomendam provedores de hospedagem que não atendem aos requisitos de suporte DNSSEC. Além disso, a pergunta mencionada acima lista 9 requisitos muito específicos, além do DNSSEC (como, por exemplo, cookies de login somente HTTP, autenticação de dois fatores, sem limite de registros DNS, estatísticas de consultas / dia do DNS, trilhas de auditoria etc.) que podem ter sido excluídos muitas recomendações possíveis, se alguém estiver interessado apenas no suporte ao DNSSEC.

Conclusões

É possível que o pioneiro na adoção do DNSSEC seja o Go Daddy e todos os serviços DNS "especializados" ainda não estejam prontos?

Eu pensei que até o final de 2012 o suporte ao DNSSEC entre registradores de domínio e provedores de DNS seria quase universal. Estou chocado que o apoio parece praticamente inexistente. Isso é resultado de alguns problemas sérios com a adoção do DNSSEC? Ou não é apenas um tópico quente e ninguém mais se incomoda? De acordo com o painel de avaliação do DNSSEC, aproximadamente 0,1% dos .comdomínios suportam o DNSSEC. Isso pode ser causado pela falta de suporte do DNSSEC entre registradores e provedores de DNS, é difícil encontrar as informações ou talvez ninguém se importe? Ainda não existe uma tag "dnssec" aqui.

Sumário

A informação é surpreendentemente difícil de encontrar. É por isso que estou pedindo experiência em primeira mão e recomendações pessoais.

Alguém aqui realmente configurou um site com DNSSEC, desde o registro de domínio até a configuração de servidores DNS, até ter um site em funcionamento totalmente seguro com DNSSEC?

Alguém integrou com êxito o DNSSEC com certificados SSL para garantir que apenas o certificado certo pudesse ser validado pelo navegador e todos os certificados ou certificados SSL não autorizados para nomes não qualificados seriam rejeitados?

Alguém pode recomendar algum dos registradores mencionados acima?

Alguém pode recomendar qualquer registrador não mencionado acima?

Alguma boa experiência? Má experiência?

Este site: https://pointless.net/

O dnssec está assinado e usa um registro TLSA ( RFC6698 ) para proteger o certificado SSL (que também é assinado pelo CA CERT , uma espécie de CA de confiança da Web de código aberto).

Eu corro meus próprios servidores de nomes e uso o Easydns como meu registrador - no entanto, o Easydns não suporta a inserção de um registro DS na zona .net, então eu uso o serviço de Validação de Lookaside de Domínio (DLV) do ISC como âncora confiável, que é gratuita e é usada pela maioria dos resolvedores de validação DNSSEC. Também estou usando o gkg.net para alguns outros domínios e eles suportam o DNSSEC corretamente.

Atualmente, nenhum navegador da Web (até onde eu saiba) tem suporte nativo para validar registros TLSA; no entanto, você pode obter um complemento de validação de TLSA para firefox, mas isso fica suspenso em algumas pesquisas de DNS.

Fiz uma palestra sobre DNSSEC e assuntos relacionados no EMFCamp Hackercamp neste verão, minhas anotações e despejo de links estão no wiki do EMFCamp .

PS Se você está lendo isso e acha que DNSSEC e TLSA é uma perda de tempo, leia este artigo sobre como o Grande Firewall da China vaza .

Então, para responder às suas perguntas resumidas:

Alguém aqui realmente configurou um site com DNSSEC, desde o registro de domínio até a configuração de servidores DNS, até ter um site em funcionamento totalmente seguro com DNSSEC?

sim

Alguém integrou com êxito o DNSSEC com certificados SSL para garantir que apenas o certificado certo pudesse ser validado pelo navegador e todos os certificados ou certificados SSL não autorizados para nomes não qualificados seriam rejeitados?

sim

Alguém pode recomendar algum dos registradores mencionados acima?

gkg.net

Alguém pode recomendar qualquer registrador não mencionado acima?

dlv.isc.org, embora não seja exatamente um registrador, ele permite contornar registradores que não oferecem suporte ao dnssec.

Alguma boa experiência? Má experiência?

lições aprendidas:

• Se você executa seus próprios servidores DNS, deve usar algum software para gerenciar as trocas de chaves dnssec, eu uso o zkt signer .
• você não pode ter o mesmo software de servidor DNS para ser um servidor autoritário e um resolvedor validador - o anúncio e o sinalizador colidem, tive que parar meu servidor de nomes de resolver, desassociá-lo do localhost e usá-lo em localhost .

atualizações:

Este é um bom verão do estado atual do jogo

update 13 Dec 2012:

Agora estou usando o gkg.net para todos os meus domínios. Ainda estou usando o serviço isc dlv, mas não preciso mais dele.

atualização 15 set 2014

Agora estou usando gandi.net

Não tenho experiência pessoal com o DNSSEC, por isso não posso fazer recomendações, mas este link do site da ICANN mostra uma lista dos registradores atuais que relataram suporte ao DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment