ปัญหาที่เข้าใจง่าย
ฉันต้องการซื้อโดเมนและทำให้เว็บไซต์ที่มีการรักษาความปลอดภัยอย่างเต็มที่กับDNSSEC
ฉันต้องการตรวจสอบให้แน่ใจว่าเบราว์เซอร์ SSL ที่ถูกต้องเท่านั้นที่สามารถตรวจสอบความถูกต้องและใบรับรอง rogue SSL ทั้งหมดหรือใบรับรองสำหรับชื่อที่ไม่ผ่านการรับรองจะถูกปฏิเสธ
ฉันจะซื้อโดเมนได้ที่ไหน ฉันควรซื้อใบรับรองหรือไม่ (หรือฉันควรใช้ใบรับรองที่ลงชื่อด้วยตนเองกับ DNSSEC แทน CAs) ฉันจะโฮสต์ DNS ได้ที่ไหน ผู้ให้บริการใดที่ทำให้กระบวนการทั้งหมดสะดวกที่สุดราคาไม่แพงที่สุดสมบูรณ์ที่สุดเป็นมืออาชีพมากที่สุดแข็งแกร่งที่สุดและปลอดภัยที่สุด
พื้นหลัง
ฉันได้ยินเกี่ยวกับความไม่มั่นคงของ DNSมาหลายปีแล้ว ผมเคยดูทั้งหมดของการเจรจาโดยแดน Kaminskyและอื่น ๆ จากการหาประโยชน์ DNS เพื่ออนาคตของการรักษาความปลอดภัย DNS แผง ฉันรู้ว่าการใช้ DNS ที่ไม่มีความปลอดภัยนั้นเป็นหายนะที่เกิดขึ้น ฉันติดตามการพัฒนามาตรฐาน DNSSEC ฉันมีการเฉลิมฉลองในพิธีลงนามสำคัญ
ในขณะที่ฉันอ่านเกี่ยวกับพัน SSL Certs ออกให้แก่ไม่มีเงื่อนไขและรายชื่อและRogue SSL Certs ออกสำหรับซีไอเอ MI6, มอสสาดและเรื่องราวอื่น ๆ อีกมากมายเช่นนั้นแสดงให้เห็นปัญหาเกี่ยวกับการดำเนินงานในปัจจุบันของเว็บไซต์ที่มีความปลอดภัยด้วย SSL ที่สามารถแก้ไขได้โดยการ DNSSEC (ดู: Major Internet Milestone: DNSSEC และ SSLและDNSSEC เพื่อแก้ไขระเบียบ SSL หรือไม่และการตรวจสอบใบรับรอง SSL และ DNSSEC ) ทุกอย่างอยู่ในเส้นทางที่ถูกต้องเพื่อให้มีระบบ DNS ที่ปลอดภัยในที่สุด
และตอนนี้มากกว่า 2 ปีต่อมาฉันต้องการทำสิ่งที่ทุกคนพูดว่าฉันควรทำ: ใช้ DNSSEC สำหรับโดเมนใหม่ ดังนั้นฉันต้องการผู้รับจดทะเบียนโดเมนและบริการโฮสต์ DNS ที่สนับสนุน DNSSEC น่าแปลกที่ไม่ใช่เรื่องง่ายที่จะพบว่าใครเป็นผู้สนับสนุน DNSSEC และในระดับใด จริง ๆ แล้วมันง่ายกว่ามากในการค้นหาข้อมูลใน DNSSEC เมื่อสองปีก่อนเมื่อทุกคนจะสนับสนุน DNSSEC จริงเร็ว ๆ นี้ แต่ตอนนี้ผ่านไปหลายปีแล้วและแทบจะไม่เห็นความคืบหน้าใด ๆ เลย ฉันแค่หวังว่าฉันกำลังดูอยู่ในสถานที่ที่ไม่ถูกต้องและใครบางคนที่นี่จะอธิบายข้อสงสัยทั้งหมด
ฉันหวังว่าคนอื่น ๆ ที่ต้องการมีเว็บไซต์ที่ปลอดภัยจะพบว่าคำถามนี้มีประโยชน์
สิ่งที่จำเป็น
- ผู้รับจดทะเบียนและเซิร์ฟเวอร์ DNS พร้อมการสนับสนุน DNSSEC แบบเต็มสำหรับ
.comโดเมน - บูรณาการของ DNSSEC กับใบรับรอง SSL
สิ่งที่ไม่ต้องการ
- รองรับ IPv6
- เว็บโฮสติ้ง
- อะไรเพิ่มเติม
สิ่งที่ฉันค้นพบจนถึงตอนนี้
- Go DaddyนำเสนอบริการDNS แบบพรีเมี่ยมสำหรับ $ 36 ต่อปีที่ช่วยให้คุณ "รักษาความปลอดภัยสูงสุด 5 โดเมนด้วย DNSSEC"
- easyDNSมี DNSSEC พร้อมใช้งานในรุ่นเบต้าในทุกระดับการให้บริการ (คุณต้องเปิดใช้งานการตั้งค่าสถานะ "เบต้า") แต่ดูเหมือนจะไม่พร้อมสำหรับการใช้งานจริงและการตัดสินจากการขาดการอัปเดตปรับปรุงครั้งล่าสุดจากมีนาคม 2011ในบล็อก EasyDNS)
- Name.com - ตามการลงทะเบียน (บริษัทจดทะเบียนโดเมนของสหรัฐอเมริกาทำ IPv6, DNSSEC ) มีการสนับสนุน DNSSEC ตั้งแต่ปี 2010 แต่ตอนนี้ (ตุลาคม 2012) ฉันไม่พบสิ่งใดที่เกี่ยวข้องกับ DNSSEC บนเว็บไซต์ของพวกเขา
- Dynadotที่แนะนำบ่อยมากไม่รองรับ DNSSEC
- Namecheapที่มักแนะนำไม่รองรับ DNSSEC คำตอบการสนับสนุนจาก 2011ชี้ให้เห็นว่ามันถูกเพิ่ม แต่ในปี 2012 ยังคงไม่มีการทางพิเศษแห่งประเทศไทยจะได้รับให้กับลูกค้า
- DynDNSควรสนับสนุน DNSSEC ฉันพบลิงค์อธิบายการสนับสนุน DNSSECแต่ให้หน้า 404 ไม่พบและมีช่องค้นหา - เมื่อค้นหา DNSSEC ฉันได้รับ "ไม่พบผลลัพธ์สำหรับการค้นหาของคุณ"
- GKGได้รับการแนะนำออนไลน์สำหรับการสนับสนุน DNSSEC แต่มันยากที่จะหาข้อมูลใด ๆ เกี่ยวกับระดับการสนับสนุน DNSSEC - มีคำอธิบายสั้น ๆ เกี่ยวกับDNSSEC คืออะไรและวิธีการลงชื่อบันทึก Delegation Signerในคำถามที่พบบ่อย แต่ไม่มีข้อมูลเกี่ยวกับระดับการสนับสนุนจริง ถูกพบ
- ถาม Slashdot: ผู้รับจดทะเบียนรายใดสนับสนุน DNSSEC ตั้งแต่เดือนกรกฎาคม 2011 - คำตอบในรายการ Go Daddy, DynDNS, GKG, Name.com เป็นผู้รับจดทะเบียนว่าการสนับสนุน DNSSEC แต่: ดูด้านบน
- ผู้รับจดทะเบียนที่สนับสนุนการจัดการ DNSSEC ของผู้ใช้รวมถึงการบันทึก DSโดย ICANN (ขอบคุณRobสำหรับการเตือนฉันเกี่ยวกับเรื่องนี้ ) - ปัญหาของรายการนี้คือระดับการสนับสนุนไม่เป็นที่รู้จักข้อเท็จจริงที่ว่าคุณต้องจ่ายค่า DNSSEC เพิ่มเติม ไม่ได้กล่าวถึงค่าธรรมเนียม แต่อย่างใดความสะดวกสบายในการซื้อการกำหนดค่าและการโฮสต์โดเมนที่ปลอดภัยอย่างเต็มที่กับ DNSSEC และ SSL
- รายชื่อ. ORG Registrars ที่ผ่าน OT&E สำหรับ DNSSECเผยแพร่โดยPublic Interest Registry - มีผู้รับจดทะเบียนจำนวนมาก แต่มีการระบุไว้สำหรับ
.orgการสนับสนุน TLD และตามที่กล่าวไว้: "นี่ไม่ได้ระบุว่าผู้รับจดทะเบียนเปิดใช้บริการ DNSSEC สำหรับผู้ลงทะเบียนหรือไม่ กรุณาติดต่อผู้รับจดทะเบียนโดยตรงเพื่อรับบริการ DNSSEC " - วิธีรักษาความปลอดภัยและเซ็นชื่อโดเมนของคุณด้วย DNSSEC การใช้ Domain RegistrarsโดยInternet Society (ขอบคุณNick ที่ชี้ให้เห็น) ปัจจุบันมีเพียงสองรายการที่สนับสนุน
.comTLD ในรายการของ "Registrars ที่สนับสนุน DNSSEC สำหรับการลงทะเบียนและการโฮสต์" Go Daddy (มีค่าใช้จ่ายเพิ่มเติมของ $ 36 / ปี)และDyn (มีค่าใช้จ่ายเพิ่มเติมจาก $ 330 / ปี) ดูวิธีการลงชื่อโดเมนของคุณด้วย DNSSEC โดยใช้ Dyn, Incและวิธีการลงทะเบียนโดเมนของคุณด้วย DNSSEC โดยใช้ GoDaddy.comสำหรับรายละเอียด
คำถามที่เกี่ยวข้อง
- จะค้นหาเว็บโฮสติ้งที่ตรงตามความต้องการของฉันได้อย่างไร
- จำเป็นต้องเพิ่ม DNSSEC ในเว็บไซต์ของฉันอย่างไร
- DNS โฮสติ้งดีกว่าโดยผู้ให้บริการโดเมนหรือผู้ให้บริการโฮสติ้ง?
- นายทะเบียนที่มีความปลอดภัยดีการโฮสต์ DNS และตัวแก้ไข DNSSEC และ IPv6
ในไม่ 1 ไม่มีใครพูดถึง DNS เลย ในไม่ 2 คำตอบเพียงพูดถึง.seTLD มีคำตอบน้อยมากและพวกเขาดูล้าสมัยมาก ในไม่ 3 คำตอบเดียวบอกว่า "ในโครงการที่ต้องการความปลอดภัยสูงกว่าฉันอาจมองหาเว็บโฮสต์ที่รองรับ DNSSEC" แต่ไม่มีข้อมูลเพิ่มเติมให้
คำตอบที่เกี่ยวข้องมีเพียงข้อเดียวเท่านั้น 4 ที่EasyDNSแนะนำโดยคนที่ไม่เคยใช้พวกเขาเอง ในขณะที่เป็นของเดือนตุลาคม 2012, การสนับสนุนของ DNSSEC จะอธิบายว่า "ในรุ่นเบต้า" ในรายการคุณสมบัติ EasyDNS อีกคนหนึ่งแนะนำSiteGroundแต่การค้นหาไซต์ของพวกเขาเพื่อหา DNSSEC จะไม่มีผลลัพธ์ คำตอบอื่น ๆ แนะนำผู้ให้บริการเว็บโฮสติ้งที่ไม่ตรงตามข้อกำหนดของการสนับสนุน DNSSEC นอกจากนี้คำถามที่กล่าวถึงข้างต้นแสดงข้อกำหนดที่เฉพาะเจาะจง 9 ข้อนอกเหนือจาก DNSSEC เท่านั้น (เช่นคุกกี้เข้าสู่ระบบ HTTP เท่านั้นการตรวจสอบสองปัจจัยไม่มีข้อ จำกัด การบันทึก DNS สถิติ DNS ของการสืบค้น / วันหลักฐานการตรวจสอบ ฯลฯ ) ซึ่งอาจยกเว้น คำแนะนำที่เป็นไปได้มากมายหากมีใครสนใจเพียงการสนับสนุน DNSSEC
สรุปผลการวิจัย
เป็นไปได้ไหมว่าผู้บุกเบิกการยอมรับ DNSSEC จะเป็น Go Daddy และบริการ DNS "ผู้เชี่ยวชาญ" ทั้งหมดยังไม่พร้อม
ฉันคิดว่าภายในสิ้นปี 2012 การสนับสนุน DNSSEC ระหว่างผู้รับจดทะเบียนโดเมนและผู้ให้บริการ DNS จะเป็นสากล ฉันตกใจที่การสนับสนุนดูเหมือนจะไม่มีอยู่จริง นี่เป็นผลมาจากปัญหาร้ายแรงบางอย่างกับการใช้ DNSSEC หรือไม่? หรือมันไม่ใช่แค่ประเด็นร้อนแรงและไม่มีใครมารบกวนอีกต่อไป? ตามDNSSEC Scoreboardประมาณ 0.1% ของ.comโดเมนที่รองรับ DNSSEC อาจเกิดจากการขาดการสนับสนุน DNSSEC ระหว่างผู้ให้บริการลงทะเบียนและผู้ให้บริการ DNS เป็นข้อมูลที่หายากเกินไปหรืออาจไม่มีใครใส่ใจ? แม้ไม่มีแท็ก "dnssec" ที่นี่
สรุป
ข้อมูลนั้นหายากอย่างแปลกใจ นั่นคือเหตุผลที่ฉันขอประสบการณ์มือแรกและคำแนะนำส่วนตัว
มีใครที่นี่จริง ๆ ตั้งค่าเว็บไซต์ด้วย DNSSEC จากการลงทะเบียนโดเมนการกำหนดค่าเซิร์ฟเวอร์ DNS ไปจนถึงการมีเว็บไซต์ทำงานที่ปลอดภัยกับ DNSSEC จริงหรือไม่
มีใครประสบความสำเร็จในการรวม DNSSEC กับใบรับรอง SSL เพื่อให้แน่ใจว่าเบราว์เซอร์ที่ถูกต้องเท่านั้นที่สามารถตรวจสอบความถูกต้องของเบราว์เซอร์และใบรับรอง SSL rogueหรือใบรับรองทั้งหมดสำหรับชื่อที่ไม่มีเงื่อนไขจะถูกปฏิเสธ?
ใครสามารถแนะนำผู้รับจดทะเบียนที่กล่าวถึงข้างต้นได้บ้าง
ใครสามารถแนะนำนายทะเบียนที่ไม่ได้กล่าวถึงข้างต้นได้บ้าง
ประสบการณ์ที่ดี? ประสบการณ์เลวร้าย
xxx.yyyด้วยโดเมนของคุณในลิงค์ อย่างไรก็ตามหน้านั้นรายงานข้อผิดพลาดสองประการสำหรับฉัน: 1. ไม่พบระเบียน DNSKEY ที่รองรับใน DNS ซึ่งมักจะหมายความว่าเซิร์ฟเวอร์ชื่อของคุณไม่ได้รับการกำหนดค่าอย่างเหมาะสมสำหรับ DNSSEC และ 2. ไม่พบระเบียน DNSSEC ในรีจิสทรี ซึ่งหมายความว่าโดเมนของคุณไม่ได้รับการกำหนดค่าอย่างถูกต้องสำหรับ DNSSEC