Comment trouver un registraire de domaine et un hébergement DNS avec un bon support DNSSEC?

Problème simplifié

Je souhaite acheter un domaine et créer un site Web entièrement sécurisé avec DNSSEC .

Je veux m'assurer que seul le bon certificat SSL pourrait être validé par les navigateurs et que tous les certificats SSL non autorisés ou certificats pour noms non qualifiés seraient rejetés.

Où puis-je acheter un domaine? Whare devrais-je acheter un certificat? (Ou devrais-je utiliser un certificat auto-signé avec DNSSEC au lieu de autorités de certification?) Où puis-je héberger DNS? Quels fournisseurs rendent l'ensemble du processus le plus pratique, le plus abordable, le plus complet, le plus professionnel, le plus robuste, le plus sécurisé?

Contexte

J'entends parler de l'insécurité du DNS depuis des années. J'ai regardé toutes les discussions de Dan Kaminsky et d'autres de exploits DNS à Le futur du panneau de sécurité DNS . Je savais que l'utilisation de DNS sans sécurité est une catastrophe imminente. J'ai suivi le développement de la norme DNSSEC. J'ai célébré la cérémonie de signature des clés .

Entre-temps, j'ai lu des articles sur des milliers de certificats SSL émis en noms non qualifiés et des certificats SSL non autorisés émis pour la CIA, MI6, Mossad et de nombreux autres articles du même type montrant des problèmes de mise en œuvre actuelle. Sites Web sécurisés avec SSL pouvant être résolus par DNSSEC (voir: n jalon Internet majeur: DNSSEC et SSL et DNSSEC pour réparer le désordre SSL? et certificat SSL validation et DNSSEC ). Tout était sur la bonne voie pour enfin mettre en place un système DNS sécurisé.

Et maintenant, plus de 2 ans plus tard, je voulais simplement faire ce que tout le monde me disait de faire: utiliser DNSSEC pour un nouveau domaine. J'ai donc besoin d'un registraire de domaine et d'un service d'hébergement DNS prenant en charge DNSSEC. Étonnamment, il n’est pas facile de savoir même qui soutient DNSSEC et dans quelle mesure. Il était en fait beaucoup plus facile de trouver des informations sur DNSSEC il y a deux ans lorsque tout le monde était sur pour prendre en charge DNSSEC Real Soon Maintenant, mais maintenant, les années passaient et je ne vois presque plus rien. progrès réalisés. J'espère juste que je cherchais juste au mauvais endroit et que quelqu'un ici voudra bien expliquer tous les doutes.

J'espère que les autres personnes souhaitant disposer d'un site Web sécurisé trouveront également cette question utile.

Ce qui est necessaire

• Serveurs d’enregistrement et DNS avec prise en charge complète de DNSSEC pour les domaines .com
• intégration de DNSSEC avec des certificats SSL

Ce qui n'est pas nécessaire

• Prise en charge IPv6
• Hébergement Web
• rien de plus

Ce que j'ai découvert jusqu'à présent

• Go Daddy offre DNS Premium un service supplémentaire de 36 $ par an qui vous permet de "Sécuriser jusqu'à 5 domaines avec DNSSEC".
• easyDNS DNSSEC est disponible en version bêta pour tous les niveaux de service (vous devez activer l'indicateur "bêta" dans la configuration), mais il ne semble pas être prêt pour la production et à en juger par le manque de mises à jour, il est ' t une fonctionnalité hautement prioritaire (le dernière mise à jour de mars 2011 sur le blog easyDNS).
• Name.com - selon The Register ( le bureau d'enregistrement de domaine américain utilise IPv6, DNSSEC ) il prend en charge DNSSEC depuis 2010, mais pour l'instant (octobre 2012), je n'ai rien trouvé liés à DNSSEC sur leur site Web.
• Dynadot c'est très souvent recommandé ne supporte pas DNSSEC
• Namecheap cela est également souvent recommandé ne supporte pas DNSSEC. Le réponse du support de 2011 suggérait qu'il était ajouté mais en 2012, aucun ETA n'est donné aux clients .
• DynDNS était supposé supporter DNSSEC, j'ai trouvé n lien expliquant le support DNSSEC mais cela donne la page 404 Introuvable et offre un champ de recherche - lors de la recherche de DNSSEC, je n'obtiens "Aucun résultat ont été trouvés pour votre requête. "
• GKG a été recommandé en ligne pour le support DNSSEC mais il est difficile de trouver des informations sur le niveau de support DNSSEC - il existe une brève explication sur qu'est-ce que DNSSEC et comment signer les enregistrements de signataire de délégation dans leur FAQ, mais aucune information sur le niveau de support actuel n’est disponible.
• Demandez à Slashdot: Quels bureaux d'enregistrement prennent en charge DNSSEC? à partir de juillet 2011 - Réponses à la liste Allez Papa, DynDNS, GKG, Name.com en tant que bureaux d'enregistrement prenant en charge DNSSEC mais: , voir ci-dessus .
• les bureaux d'enregistrement qui prennent en charge la gestion DNSSEC de l'utilisateur final, y compris la saisie de DS enregistrements par l'ICANN (grâce à Rob pour me le rappelant =) - Le problème avec cette liste est que le niveau de support est inconnu, le fait que vous ayez à payer des frais supplémentaires pour DNSSEC ne soit pas mentionné, sans parler de la commodité d’acheter, de configurer et d’héberger des domaines entièrement sécurisés avec DNSSEC et SSL.
• Liste des bureaux d'enregistrement .ORG qui ont passé OT & E pour DNSSEC publiés par le Registre d'intérêt public - beaucoup de bureaux d'enregistrement mais ils sont répertoriés pour le support de .org TLD et en tant que ils disent: "Cela n'indique pas si le bureau d'enregistrement a activé un service DNSSEC pour les inscrits. Veuillez contacter directement les bureaux d'enregistrement pour leur service DNSSEC."
• Comment sécuriser et signer votre domaine avec DNSSEC en utilisant des registraires de domaine par le Internet Society (grâce à Nick pour l'avoir signalé) répertorie actuellement seulement deux qui prennent en charge .com TLD dans la liste des "Bureaux d'enregistrement prenant en charge DNSSEC pour l'enregistrement et l'hébergement", c'est-à-dire. Go Daddy (avec des frais supplémentaires de 36 $ par an) et Dyn (avec un supplément de 330 $/an) . Voir Comment signer votre domaine avec DNSSEC avec Dyn, Inc et Comment signer votre domaine avec DNSSEC avec GoDaddy.com pour plus de détails.

Questions connexes

1. Comment trouver un hébergement Web qui répond à mes exigences?
2. Que faut-il pour ajouter DNSSEC à mon site?
3. Hébergement DNS mieux géré par le fournisseur de domaine ou le fournisseur d'hébergement?
4. Registraire avec une bonne sécurité, hébergement DNS et résolveurs DNSSEC et IPv6?

Dans non 1 personne ne mentionne jamais le DNS. Dans non 2 réponses ne mentionnent que le .se TLD, il y a très peu de réponses et elles semblent très obsolètes. Dans non 3 Une réponse dit "Sur les projets exigeant une sécurité accrue, je pourrais rechercher un hôte Web prenant en charge DNSSEC", mais aucune information supplémentaire n’est fournie.

Les seules réponses pertinentes sont en non. 4 où easyDNS est recommandé par quelqu'un qui ne les a jamais utilisés personnellement. Pendant ce temps, à compter d'octobre 2012, le support de DNSSEC est décrit comme "en version bêta" sur la liste des fonctionnalités d'easyDNS . Un autre recommande SiteGround mais la recherche de DNSSEC sur leur site ne renvoie aucun résultat. D'autres réponses recommandent des fournisseurs d'hébergement Web qui ne répondent pas aux exigences du support DNSSEC. La question mentionnée ci-dessus énumère également 9 exigences très spécifiques autres que DNSSEC (comme par exemple les cookies de connexion HTTP uniquement, les authentifications à deux facteurs, aucune limite d'enregistrement DNS, les statistiques DNS des requêtes/jour, les traces d'audit, etc.) qui auraient pu être exclues. beaucoup de recommandations possibles si on ne s'intéresse qu'au support DNSSEC.

Conclusions

Est-il possible que le pionnier de l'adoption de DNSSEC soit Go Daddy et que tous les services DNS "experts" ne soient pas encore prêts?

Je pensais que d'ici la fin de 2012, le support de DNSSEC parmi les bureaux d'enregistrement de noms de domaine et les fournisseurs DNS serait presque universel. Je suis choqué que le soutien semble pratiquement inexistant. Cela résulte-t-il de graves problèmes liés à l'adoption de DNSSEC? Ou est-ce simplement un sujet d'actualité et personne ne le dérange plus? Selon le tableau de bord DNSSEC environ 0,1% environ des domaines .com prennent en charge DNSSEC. Cela pourrait-il être causé par le manque de prise en charge de DNSSEC par les bureaux d'enregistrement et les fournisseurs DNS, l'information est-elle trop difficile à trouver ou peut-être que personne ne s'en soucie? Il n'y a même pas de balise "dnssec" ici.

Résumé

L'information est étonnamment difficile à trouver. C'est pourquoi je demande une expérience directe et des recommandations personnelles.

Quelqu'un a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web opérationnel entièrement sécurisé avec DNSSEC?

Quelqu'un at-il intégré avec succès DNSSEC avec des certificats SSL pour s’assurer que seul le certificat de droite pouvait être validé par le navigateur et que tous les certificats SSL non autorisés ou certificats pour des noms non qualifiés être rejeté?

Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?

Quelqu'un peut-il recommander un bureau d'enregistrement non mentionné ci-dessus?

Une bonne expérience? Mauvaise expérience?