web-dev-qa-db-fra.com

Comment trouver un registraire de domaine et un hébergement DNS avec un bon support DNSSEC?

Problème simplifié

Je souhaite acheter un domaine et créer un site Web entièrement sécurisé avec DNSSEC .

Je veux m'assurer que seul le bon certificat SSL pourrait être validé par les navigateurs et que tous les certificats SSL non autorisés ou certificats pour noms non qualifiés seraient rejetés.

Où puis-je acheter un domaine? Whare devrais-je acheter un certificat? (Ou devrais-je utiliser un certificat auto-signé avec DNSSEC au lieu de autorités de certification?) Où puis-je héberger DNS? Quels fournisseurs rendent l'ensemble du processus le plus pratique, le plus abordable, le plus complet, le plus professionnel, le plus robuste, le plus sécurisé?

Contexte

J'entends parler de l'insécurité du DNS depuis des années. J'ai regardé toutes les discussions de Dan Kaminsky et d'autres de exploits DNS à Le futur du panneau de sécurité DNS . Je savais que l'utilisation de DNS sans sécurité est une catastrophe imminente. J'ai suivi le développement de la norme DNSSEC. J'ai célébré la cérémonie de signature des clés .

Entre-temps, j'ai lu des articles sur des milliers de certificats SSL émis en noms non qualifiés et des certificats SSL non autorisés émis pour la CIA, MI6, Mossad et de nombreux autres articles du même type montrant des problèmes de mise en œuvre actuelle. Sites Web sécurisés avec SSL pouvant être résolus par DNSSEC (voir: n jalon Internet majeur: DNSSEC et SSL et DNSSEC pour réparer le désordre SSL? et certificat SSL validation et DNSSEC ). Tout était sur la bonne voie pour enfin mettre en place un système DNS sécurisé.

Et maintenant, plus de 2 ans plus tard, je voulais simplement faire ce que tout le monde me disait de faire: utiliser DNSSEC pour un nouveau domaine. J'ai donc besoin d'un registraire de domaine et d'un service d'hébergement DNS prenant en charge DNSSEC. Étonnamment, il n’est pas facile de savoir même qui soutient DNSSEC et dans quelle mesure. Il était en fait beaucoup plus facile de trouver des informations sur DNSSEC il y a deux ans lorsque tout le monde était sur pour prendre en charge DNSSEC Real Soon Maintenant, mais maintenant, les années passaient et je ne vois presque plus rien. progrès réalisés. J'espère juste que je cherchais juste au mauvais endroit et que quelqu'un ici voudra bien expliquer tous les doutes.

J'espère que les autres personnes souhaitant disposer d'un site Web sécurisé trouveront également cette question utile.

Ce qui est necessaire

  • Serveurs d’enregistrement et DNS avec prise en charge complète de DNSSEC pour les domaines .com
  • intégration de DNSSEC avec des certificats SSL

Ce qui n'est pas nécessaire

  • Prise en charge IPv6
  • Hébergement Web
  • rien de plus

Ce que j'ai découvert jusqu'à présent

Questions connexes

  1. Comment trouver un hébergement Web qui répond à mes exigences?
  2. Que faut-il pour ajouter DNSSEC à mon site?
  3. Hébergement DNS mieux géré par le fournisseur de domaine ou le fournisseur d'hébergement?
  4. Registraire avec une bonne sécurité, hébergement DNS et résolveurs DNSSEC et IPv6?

Dans non 1 personne ne mentionne jamais le DNS. Dans non 2 réponses ne mentionnent que le .se TLD, il y a très peu de réponses et elles semblent très obsolètes. Dans non 3 Une réponse dit "Sur les projets exigeant une sécurité accrue, je pourrais rechercher un hôte Web prenant en charge DNSSEC", mais aucune information supplémentaire n’est fournie.

Les seules réponses pertinentes sont en non. 4 où easyDNS est recommandé par quelqu'un qui ne les a jamais utilisés personnellement. Pendant ce temps, à compter d'octobre 2012, le support de DNSSEC est décrit comme "en version bêta" sur la liste des fonctionnalités d'easyDNS . Un autre recommande SiteGround mais la recherche de DNSSEC sur leur site ne renvoie aucun résultat. D'autres réponses recommandent des fournisseurs d'hébergement Web qui ne répondent pas aux exigences du support DNSSEC. La question mentionnée ci-dessus énumère également 9 exigences très spécifiques autres que DNSSEC (comme par exemple les cookies de connexion HTTP uniquement, les authentifications à deux facteurs, aucune limite d'enregistrement DNS, les statistiques DNS des requêtes/jour, les traces d'audit, etc.) qui auraient pu être exclues. beaucoup de recommandations possibles si on ne s'intéresse qu'au support DNSSEC.

Conclusions

Est-il possible que le pionnier de l'adoption de DNSSEC soit Go Daddy et que tous les services DNS "experts" ne soient pas encore prêts?

Je pensais que d'ici la fin de 2012, le support de DNSSEC parmi les bureaux d'enregistrement de noms de domaine et les fournisseurs DNS serait presque universel. Je suis choqué que le soutien semble pratiquement inexistant. Cela résulte-t-il de graves problèmes liés à l'adoption de DNSSEC? Ou est-ce simplement un sujet d'actualité et personne ne le dérange plus? Selon le tableau de bord DNSSEC environ 0,1% environ des domaines .com prennent en charge DNSSEC. Cela pourrait-il être causé par le manque de prise en charge de DNSSEC par les bureaux d'enregistrement et les fournisseurs DNS, l'information est-elle trop difficile à trouver ou peut-être que personne ne s'en soucie? Il n'y a même pas de balise "dnssec" ici.

Résumé

L'information est étonnamment difficile à trouver. C'est pourquoi je demande une expérience directe et des recommandations personnelles.

Quelqu'un a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web opérationnel entièrement sécurisé avec DNSSEC?

Quelqu'un at-il intégré avec succès DNSSEC avec des certificats SSL pour s’assurer que seul le certificat de droite pouvait être validé par le navigateur et que tous les certificats SSL non autorisés ou certificats pour des noms non qualifiés être rejeté?

Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?

Quelqu'un peut-il recommander un bureau d'enregistrement non mentionné ci-dessus?

Une bonne expérience? Mauvaise expérience?

17
rsp

Ce site web: https://pointless.net/

Est-ce que dnssec est signé et utilise un enregistrement TLSA ( RFC6698 ) pour sécuriser le certificat SSL (qui est également signé par CA CERT , une sorte de site Web d'autorité de confiance en source ouverte).

J'exécute mes propres serveurs de noms et utilise Easydns en tant que bureau d'enregistrement. Cependant, Easydns ne prend pas en charge l'enregistrement d'un enregistrement DS dans la zone .net, de sorte que j'utilise le service ISC Domain Lookaside Validation ( DLV) comme ancre de confiance, qui est libre et utilisée par la majorité des résolveurs de validation DNSSEC. J'utilise également gkg.net pour certains autres domaines et ils prennent en charge l'exécution correcte de DNSSEC.

À l'heure actuelle, aucun navigateur Web (à ma connaissance) ne prend en charge de manière native la validation des enregistrements TLSA. Toutefois, vous pouvez obtenir un complément = module de validation TLSA = pour Firefox, mais il se bloque lors de certaines recherches DNS.

J'ai fait une conférence sur DNSSEC et des sujets connexes au EMFCamp Hackercamp cet été, mes notes et le vidage de liens se trouvent sur le wiki d'EMFCamp .

P.S. Si vous lisez ceci et pensez que DNSSEC et TLSA sont une perte de temps, alors lisez ceci document sur la façon dont le grand pare-feu de China Leaks .

Donc, pour répondre à vos questions récapitulatives:

Quelqu'un a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web opérationnel entièrement sécurisé avec DNSSEC?

oui

Quelqu'un at-il intégré avec succès DNSSEC avec des certificats SSL pour s’assurer que seul le certificat de droite pouvait être validé par le navigateur et que tous les certificats SSL non autorisés ou certificats pour des noms non qualifiés être rejeté?

oui

Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?

gkg.net

Quelqu'un peut-il recommander un bureau d'enregistrement non mentionné ci-dessus?

dlv.isc.org, bien qu'il ne s'agisse pas exactement d'un bureau d'enregistrement, il vous permet de contourner des bureaux d'enregistrement qui ne prennent pas en charge dnssec.

Une bonne expérience? Mauvaise expérience?

leçons apprises:

  • Si vous utilisez vos propres serveurs DNS, vous devez utiliser un logiciel permettant de gérer les transferts de clé dnssec. J'utilise signataire zkt .
  • vous ne pouvez pas avoir le même logiciel serveur DNS qui soit à la fois un serveur faisant autorité et un résolveur validant - le conflit entre les annonceurs et les indicateurs publicitaires a dû être arrêté, je devais empêcher mon serveur de noms d’être un résolveur, le dissocier de localhost et utiliser non lié sur localhost .

mises à jour:

C'est un bon résumé du courant état d'avancement

mise à jour 13 déc 2012:

J'utilise maintenant gkg.net pour tous mes domaines. J'utilise toujours le service isc dlv, mais je n'en ai plus vraiment besoin.

mise à jour 15 sept. 2014

J'utilise maintenant le nom de domaine

7
JasperWallace

Je n'ai pas d'expérience personnelle avec DNSSEC, je ne peux donc pas vraiment faire de recommandations, mais ce lien depuis le site de l'ICANN affiche une liste des bureaux d'enregistrement actuels qui ont déclaré avoir pris en charge DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment

2
Rob