¿Cómo encontrar el registrador de dominio y el alojamiento de DNS con un buen soporte de DNSSEC?

17

Problema simplificado

Quiero comprar un dominio y crear un sitio web que esté completamente seguro con DNSSEC .

Quiero asegurarme de que los navegadores solo puedan validar el certificado SSL correcto y que se rechacen todos los certificados SSL falsos o certificados para nombres no calificados .

¿Dónde puedo comprar un dominio? ¿Whare debo comprar un certificado? (¿O debería usar un certificado autofirmado con DNSSEC en lugar de CA?) ¿Dónde puedo alojar DNS? ¿Qué proveedores hacen que todo el proceso sea más conveniente, más asequible, más completo, más profesional, más robusto y más seguro?

Antecedentes

He estado escuchando sobre la inseguridad del DNS durante años. He visto todas las charlas de Dan Kaminsky y otros, desde exploits de DNS hasta El futuro del Panel de seguridad de DNS . Sabía que usar DNS sin seguridad es un desastre a la espera de que suceda. Seguí el desarrollo del estándar DNSSEC. Celebré la ceremonia de firma de llaves .

Mientras tanto, leí sobre Miles de certificados SSL emitidos para nombres no calificados y certificados SSL falsos emitidos para la CIA, MI6, Mossad y muchas otras historias como esa que muestran problemas con la implementación actual de sitios web protegidos con SSL que DNSSEC podría resolver (ver: A Internet más importantes Milestone: DNSSEC y SSL y DNSSEC para arreglar el lío SSL? y la validación del certificado SSL y DNSSEC ). Todo estaba en el camino correcto para finalmente tener un sistema DNS seguro en su lugar.

Y ahora, más de 2 años después, quería hacer lo que todos decían que debía hacer: usar DNSSEC para un nuevo dominio. Por lo tanto, necesito un registrador de dominio y un servicio de alojamiento de DNS que admita DNSSEC. Sorprendentemente, no es tan fácil incluso descubrir quién admite DNSSEC y en qué medida. En realidad, fue mucho más fácil encontrar información sobre DNSSEC hace dos años, cuando todos iban a apoyar DNSSEC Real Soon Now, pero ahora pasaron los años y casi no veo ningún progreso. Solo espero haber estado buscando en los lugares equivocados y que alguien aquí explique amablemente todas las dudas.

Espero que otras personas que quieran tener un sitio web seguro también encuentren útil esta pregunta.

Qué se necesita

  • registrador y servidores DNS con soporte completo DNSSEC para .comdominios
  • integración de DNSSEC con certificados SSL

Lo que no es necesario

  • Soporte IPv6
  • Alojamiento web
  • algo más

Lo que descubrí hasta ahora

Preguntas relacionadas

  1. ¿Cómo encontrar alojamiento web que cumpla con mis requisitos?
  2. ¿Qué se necesita para agregar DNSSEC a mi sitio?
  3. Hosting DNS mejor administrado por el proveedor de dominio o proveedor de alojamiento?
  4. ¿Registrador con buena seguridad, alojamiento de DNS y solucionadores DNSSEC e IPv6?

En no. 1 nadie menciona el DNS en absoluto. En no. 2 respuestas solo mencionan el .seTLD, hay muy pocas respuestas y parecen muy desactualizadas. En no. 3 una respuesta dice "En proyectos que exigen mayor seguridad, podría buscar un proveedor de alojamiento web que admita DNSSEC", pero no se proporciona más información.

Las únicas respuestas relevantes están en el no. 4 donde easyDNS es recomendado por alguien que nunca los ha usado personalmente. Mientras tanto, a partir de octubre de 2012, el soporte de DNSSEC se describe como "en beta" en la lista de características de easyDNS . Otro recomienda SiteGround, pero la búsqueda de DNSSEC en su sitio no arroja resultados. Otras respuestas recomiendan proveedores de alojamiento web que no cumplan con los requisitos de soporte DNSSEC. Además, la pregunta mencionada anteriormente enumera 9 requisitos muy específicos además de DNSSEC (por ejemplo, cookies de inicio de sesión solo HTTP, autenticaciones de dos factores, sin límites de registro DNS, estadísticas DNS de consultas / día, pistas de auditoría, etc.) que podrían haber excluido muchas recomendaciones posibles si solo está interesado en el soporte DNSSEC.

Conclusiones

¿Es posible que el pionero de la adopción de DNSSEC sea Go Daddy y que todos los servicios DNS "expertos" aún no estén listos?

Pensé que para fines de 2012 el soporte de DNSSEC entre los registradores de dominios y los proveedores de DNS sería casi universal. Me sorprende que el soporte parezca prácticamente inexistente. ¿Es esto el resultado de algunos problemas serios con la adopción de DNSSEC? ¿O simplemente no es un tema candente y ya nadie se molesta? Según el DNSSEC Scoreboard, aproximadamente el 0.1% de los .comdominios son compatibles con DNSSEC. ¿Podría ser esto debido a la falta de soporte DNSSEC entre los registradores y los proveedores de DNS? ¿Es la información demasiado difícil de encontrar o quizás a nadie le importe? Incluso no hay una etiqueta "dnssec" aquí.

Resumen

La información es sorprendentemente difícil de encontrar. Es por eso que solicito experiencia de primera mano y recomendaciones personales.

¿Alguien aquí ha creado un sitio web con DNSSEC, desde el registro del dominio hasta la configuración de los servidores DNS, hasta tener un sitio web que funcione y esté completamente seguro con DNSSEC?

¿Alguien ha integrado con éxito DNSSEC con certificados SSL para asegurarse de que solo el certificado correcto pueda ser validado por el navegador y se rechazarán todos los certificados SSL falsos o certificados para nombres no calificados ?

¿Alguien puede recomendar alguno de los registradores mencionados anteriormente?

¿Alguien puede recomendar algún registrador no mencionado anteriormente?

Alguna buena experiencia? ¿Mala experiencia?

rsp
fuente
Gran pregunta No puedo ofrecer una recomendación personal, pero esta lista de PIR presenta un grupo actualizado de proveedores de DNSSEC, algunos de los cuales no se mencionan en su lista hasta ahora. Internet Society también tiene una guía sobre la firma de dominios con DNSSEC con un número pequeño pero creciente de registradores.
Nick
Debería haber mencionado que todas las guías de Internet Society mencionan los precios, por lo que son bastante útiles. Parece que DNSSEC es un servicio premium entre todos los registradores en este momento.
Nick
Gracias @Nick. He agregado la información de tus enlaces a la pregunta.
rsp
1
Esta lista ( frankb.us/dns ) de servidores secundarios / esclavos gratuitos (con indicación de si son compatibles con DNSSEC) parece un punto de partida útil si decide que pagar a Dyn Inc. $ 30 / mes es demasiado caro para uno o dos dominios, y que simplemente no desea ir allí con GoDaddy, sino que prefiere rodar los servicios de DNS usted mismo con alguna copia de seguridad remota (que es lo que probablemente haré para mis dominios personales, aunque probablemente usaría Dyn Inc. para un comercial proyecto). Cuando lo configure, escribiré mis experiencias en una respuesta aquí.
Alex Dupuy
Tengo un dominio .info de Name.com. Ahora tienen una página separada para la gestión de DNSSEC. Reemplace xxx.yyycon su dominio en el enlace. Sin embargo, esa página informa dos errores para mí: 1. No se encontraron registros DNSKEY compatibles en DNS. Esto generalmente significa que sus servidores de nombres no están configurados correctamente para DNSSEC. y 2. No se encontraron registros DNSSEC en el registro. Esto significa que su dominio no está configurado correctamente para DNSSEC.
HRJ

Respuestas:

7

Este sitio web: https://pointless.net/

Está firmado por dnssec y utiliza un registro TLSA ( RFC6698 ) para asegurar el certificado SSL (que también está firmado por CA CERT , una especie de web de código abierto de confianza CA).

Ejecuto mis propios servidores de nombres y uso Easydns como mi registrador; sin embargo, Easydns no admite poner un registro DS en la zona .net, así que uso el servicio de validación de Lookaside de dominio (DLV) ISC como el ancla de confianza, que es gratis y se usa por la mayoría de los solucionadores de validación de DNSSEC. También estoy usando gkg.net para algunos otros dominios y ellos admiten hacer DNSSEC correctamente.

Actualmente, ningún navegador web (que yo sepa) tiene soporte nativo para validar registros TLSA, sin embargo, puede obtener un complemento de validación TLSA para firefox, pero se cuelga en algunas búsquedas de DNS.

Hice una charla sobre DNSSEC y asuntos relacionados en el Hackercamp EMFCamp este verano, mis notas y el volcado de enlaces están en el wiki de EMFCamp .

PD: si está leyendo esto y cree que DNSSEC y TLSA son una pérdida de tiempo, lea este documento sobre cómo se filtra el Gran Firewall de China .

Entonces, para responder sus preguntas de resumen:

¿Alguien aquí ha creado un sitio web con DNSSEC, desde el registro del dominio hasta la configuración de los servidores DNS, hasta tener un sitio web que funcione y esté completamente seguro con DNSSEC?

si

¿Alguien ha integrado con éxito DNSSEC con certificados SSL para asegurarse de que solo el certificado correcto pueda ser validado por el navegador y se rechazarán todos los certificados SSL falsos o certificados para nombres no calificados ?

si

¿Alguien puede recomendar alguno de los registradores mencionados anteriormente?

gkg.net

¿Alguien puede recomendar algún registrador no mencionado anteriormente?

dlv.isc.org, aunque no es exactamente un registrador, le permite trabajar con registradores que no admiten dnssec.

Alguna buena experiencia? ¿Mala experiencia?

lecciones aprendidas:

  • Si ejecuta sus propios servidores dns, debe usar algún software para administrar las transferencias de claves dnssec, utilizo zkt signer .
  • no puede hacer que el mismo software de servidor DNS sea tanto un servidor autorizado como un solucionador de validación: el anuncio y las banderas chocan, tuve que evitar que mi servidor de nombres sea un solucionador, desvincularlo de localhost y usar unbound en localhost en su lugar .

actualizaciones:

Este es un buen resumen del estado actual del juego.

actualización 13 dic 2012:

Ahora estoy usando gkg.net para todos mis dominios. Todavía estoy usando el servicio isc dlv, pero ya no lo necesito.

actualizar 15 sep 2014

Ahora estoy usando gandi.net

JasperWallace
fuente
2

No tengo experiencia personal con DNSSEC, así que realmente no puedo hacer ninguna recomendación, pero este enlace desde el sitio de ICANN muestra una lista de los registradores actuales que han informado de soporte para DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment

Robar
fuente
Gracias. Ya leí esta lista (olvidé mencionarla en la pregunta, tal vez la agregue para completarla) pero el problema con esta lista es que el nivel de soporte es completamente desconocido. Por ejemplo, Go Daddy aparece en la lista, pero parece que DNSSEC es una función premium por la que tiene que pagar tarifas adicionales y no sé cómo funciona en la práctica. Name.com está en la lista, DynDNS está en la lista, easyDNS está en la lista, pero vea la información en mi pregunta. Es difícil encontrar qué registradores son totalmente compatibles con DNSSEC o qué tan conveniente lo hacen y es por eso que estoy preguntando acerca de la experiencia personal.
rsp