简化问题
我想购买一个域名并建立一个使用DNSSEC完全安全的网站。
我想确保浏览器只能验证一个正确的SSL证书,而所有流氓SSL证书或不合格名称的证书都将被拒绝。
在哪里可以购买域名?我应该买证书的鲸鱼吗?(或者我应该使用带有DNSSEC的自签名证书而不是 CA?)我可以在哪里托管DNS?哪些提供商使整个过程最便捷,最实惠,最完整,最专业,最可靠,最安全?
背景
多年来,我一直在听说DNS的不安全性。我看过Dan Kaminsky和其他人的所有演讲,从DNS漏洞 到DNS安全小组的未来。我知道在没有安全性的情况下使用DNS真是一场灾难。我关注DNSSEC标准的制定。我庆祝了签字仪式。
同时,我读到有关颁发给不合格名称的成千上万个SSL证书和针对CIA,MI6,Mossad发行的流氓SSL证书以及许多其他故事,这些故事显示了DNSSEC可以解决的当前使用SSL保护的网站的实现问题(请参阅:A互联网的主要里程碑:DNSSEC和SSL以及用于修复SSL混乱的SSLSEC和SSL证书验证和DNSSEC)。一切都在正确的轨道上,终于有了一个安全的DNS系统。
现在超过2年后,我只想做每个人都应该做的事情:将DNSSEC用于新域。因此,我需要一个域名注册商和一个支持DNSSEC的DNS托管服务。令人惊讶的是,要找出谁支持DNSSEC以及支持的程度还不是那么容易。实际上,两年前每个人都将要支持DNSSEC 时,在DNSSEC上查找信息要容易得多,但是现在已经过去了几年,我几乎看不到任何进展。我只是希望我只是在错误的地方看,这里有人会请所有的疑问解释。
我希望其他想要拥有安全网站的人也会发现此问题有用。
需要什么
- 具有
.com域的完整DNSSEC支持的注册商和DNS服务器 - 将DNSSEC与SSL证书集成
不需要什么
- IPv6支持
- 虚拟主机
- 更多的东西
我到目前为止发现的
- 转到爸爸提供高级DNS服务每年,让您“安全达5个域与DNSSEC”另外$ 36
- easyDNS在所有服务级别的Beta中都提供了DNSSEC(您需要在配置中启用“ beta”标志),但是它似乎尚未准备就绪,从缺乏更新的角度来看,它并不是最高优先级的功能(easyDNS博客的最新更新是2011年3月)。
- Name.com-根据The Register(美国域名注册商执行IPv6,DNSSEC)的消息,该域名自2010年以来一直支持DNSSEC,但现在(2012年10月),我在其网站上找不到与DNSSEC相关的任何内容。
- 经常推荐的Dynadot 不支持DNSSEC
- 还经常建议使用Namecheap不支持DNSSEC。2011年的支持答复表明已添加该支持,但在2012年仍未向客户提供ETA。
- DynDNS应该支持DNSSEC,我找到了一个解释DNSSEC支持的链接,但它提供了404 Not Found页面,并提供了一个搜索框-在搜索DNSSEC时,我得到“未找到查询结果”。
- 推荐在线使用GKG以获得DNSSEC支持,但是很难找到有关DNSSEC支持级别的任何信息- 在FAQ中对什么是DNSSEC以及如何对“委托签名人”记录进行简要说明,但没有关于实际支持水平的信息被发现。
- 询问Slashdot:哪些注册服务商支持DNSSEC?从2011年7月开始-答复列表将Daddy,DynDNS,GKG,Name.com作为支持DNSSEC的注册商,但:请参见上文。
- 注册商的支持最终用户DNSSEC管理,包括DS记录条目由ICANN(感谢罗布的提醒我一下吧) -问题与此列表是支持水平是未知的,事实上,你是否有支付DNSSEC附加没有提及费用,更不用说购买,配置和托管完全由DNSSEC和SSL保护的域的便利了。
- 已通过公共利益注册机构发布的DNSSEC OT&E通过.ORG注册商的列表 -很多注册商,但它们均获得了
.orgTLD支持,并且如他们所说:“这并不表示注册商是否已为注册人启用DNSSEC服务。请直接与注册商联系以获取DNSSEC服务。” - 如何使用DNSSEC保护和签名您的域,互联网协会(感谢Nick指出)目前在“支持DNSSEC进行注册和托管的注册机构” 列表中仅列出了两个支持
.comTLD的机构。Go Daddy(每年36美元的额外费用)和Dyn(每年330美元的额外费用)。有关详细信息,请参见如何使用Dyn,Inc . 使用DNSSEC签名域和如何使用GoDaddy.com使用DNSSEC签名域。
相关问题
在没有 1没有人提到过DNS。在没有 2个答案仅提到了.seTLD,答案很少,而且看起来很过时。在没有 3一个答案说:“在要求更高安全性的项目中,我可能会寻找支持DNSSEC的Web主机”,但未提供更多信息。
唯一相关的答案是否定的。4 从未使用过DNS的人推荐使用easyDNS。同时,从2012年10月起,在easyDNS功能列表中将 DNSSEC的支持描述为“处于beta版” 。另一个建议使用SiteGround,但在其站点中搜索DNSSEC不会返回任何结果。其他答案推荐不满足DNSSEC支持要求的网络托管提供商。上面提到的问题还列出了9个非常具体的要求,而不仅仅是DNSSEC(例如,仅HTTP登录cookie,两因素身份验证,没有DNS记录限制,每天查询的DNS统计信息,审计跟踪等),这些要求可能已被排除在外。如果仅对DNSSEC支持感兴趣,则有许多可能的建议。
结论
采用DNSSEC的先驱是否有可能成为Go Daddy并且所有“专家” DNS服务尚未准备就绪?
我认为,到2012年底,域名注册商和DNS提供商对DNSSEC的支持将几乎普及。令我震惊的是,几乎没有这种支持。这是采用DNSSEC时遇到的一些严重问题的结果吗?还是这不是一个热门话题,没有人再打扰了?根据DNSSEC计分板,大约有0.1%的.com域支持DNSSEC。可能是由于注册服务商和DNS提供商之间缺乏DNSSEC支持所致,信息难于查找还是没人在乎?这里甚至没有“ dnssec”标签。
摘要
该信息令人惊讶地难以找到。这就是为什么我需要第一手经验和个人建议。
从域名注册到DNS服务器的配置,到实际上拥有一个由DNSSEC完全保护的工作网站,这里是否有人真的在使用DNSSEC建立了一个网站?
是否有人成功将DNSSEC与SSL证书集成在一起,以确保浏览器只能验证一个正确的证书,而所有流氓SSL证书或不合格名称的证书将被拒绝?
谁能推荐上述任何注册商?
谁能推荐以上未提及的注册商?
有什么好的经验吗?坏的经验?