Je souhaite acheter un domaine et créer un site Web entièrement sécurisé avec DNSSEC .
Je veux m'assurer que seul le bon certificat SSL pourrait être validé par les navigateurs et que tous les certificats SSL non autorisés ou certificats pour noms non qualifiés seraient rejetés.
Où puis-je acheter un domaine? Whare devrais-je acheter un certificat? (Ou devrais-je utiliser un certificat auto-signé avec DNSSEC au lieu de autorités de certification?) Où puis-je héberger DNS? Quels fournisseurs rendent l'ensemble du processus le plus pratique, le plus abordable, le plus complet, le plus professionnel, le plus robuste, le plus sécurisé?
J'entends parler de l'insécurité du DNS depuis des années. J'ai regardé toutes les discussions de Dan Kaminsky et d'autres de exploits DNS à Le futur du panneau de sécurité DNS . Je savais que l'utilisation de DNS sans sécurité est une catastrophe imminente. J'ai suivi le développement de la norme DNSSEC. J'ai célébré la cérémonie de signature des clés .
Entre-temps, j'ai lu des articles sur des milliers de certificats SSL émis en noms non qualifiés et des certificats SSL non autorisés émis pour la CIA, MI6, Mossad et de nombreux autres articles du même type montrant des problèmes de mise en œuvre actuelle. Sites Web sécurisés avec SSL pouvant être résolus par DNSSEC (voir: n jalon Internet majeur: DNSSEC et SSL et DNSSEC pour réparer le désordre SSL? et certificat SSL validation et DNSSEC ). Tout était sur la bonne voie pour enfin mettre en place un système DNS sécurisé.
Et maintenant, plus de 2 ans plus tard, je voulais simplement faire ce que tout le monde me disait de faire: utiliser DNSSEC pour un nouveau domaine. J'ai donc besoin d'un registraire de domaine et d'un service d'hébergement DNS prenant en charge DNSSEC. Étonnamment, il n’est pas facile de savoir même qui soutient DNSSEC et dans quelle mesure. Il était en fait beaucoup plus facile de trouver des informations sur DNSSEC il y a deux ans lorsque tout le monde était sur pour prendre en charge DNSSEC Real Soon Maintenant, mais maintenant, les années passaient et je ne vois presque plus rien. progrès réalisés. J'espère juste que je cherchais juste au mauvais endroit et que quelqu'un ici voudra bien expliquer tous les doutes.
J'espère que les autres personnes souhaitant disposer d'un site Web sécurisé trouveront également cette question utile.
.com
.org
TLD et en tant que ils disent: "Cela n'indique pas si le bureau d'enregistrement a activé un service DNSSEC pour les inscrits. Veuillez contacter directement les bureaux d'enregistrement pour leur service DNSSEC.".com
TLD dans la liste des "Bureaux d'enregistrement prenant en charge DNSSEC pour l'enregistrement et l'hébergement", c'est-à-dire. Go Daddy (avec des frais supplémentaires de 36 $ par an) et Dyn (avec un supplément de 330 $/an) . Voir Comment signer votre domaine avec DNSSEC avec Dyn, Inc et Comment signer votre domaine avec DNSSEC avec GoDaddy.com pour plus de détails.Dans non 1 personne ne mentionne jamais le DNS. Dans non 2 réponses ne mentionnent que le .se
TLD, il y a très peu de réponses et elles semblent très obsolètes. Dans non 3 Une réponse dit "Sur les projets exigeant une sécurité accrue, je pourrais rechercher un hôte Web prenant en charge DNSSEC", mais aucune information supplémentaire n’est fournie.
Les seules réponses pertinentes sont en non. 4 où easyDNS est recommandé par quelqu'un qui ne les a jamais utilisés personnellement. Pendant ce temps, à compter d'octobre 2012, le support de DNSSEC est décrit comme "en version bêta" sur la liste des fonctionnalités d'easyDNS . Un autre recommande SiteGround mais la recherche de DNSSEC sur leur site ne renvoie aucun résultat. D'autres réponses recommandent des fournisseurs d'hébergement Web qui ne répondent pas aux exigences du support DNSSEC. La question mentionnée ci-dessus énumère également 9 exigences très spécifiques autres que DNSSEC (comme par exemple les cookies de connexion HTTP uniquement, les authentifications à deux facteurs, aucune limite d'enregistrement DNS, les statistiques DNS des requêtes/jour, les traces d'audit, etc.) qui auraient pu être exclues. beaucoup de recommandations possibles si on ne s'intéresse qu'au support DNSSEC.
Est-il possible que le pionnier de l'adoption de DNSSEC soit Go Daddy et que tous les services DNS "experts" ne soient pas encore prêts?
Je pensais que d'ici la fin de 2012, le support de DNSSEC parmi les bureaux d'enregistrement de noms de domaine et les fournisseurs DNS serait presque universel. Je suis choqué que le soutien semble pratiquement inexistant. Cela résulte-t-il de graves problèmes liés à l'adoption de DNSSEC? Ou est-ce simplement un sujet d'actualité et personne ne le dérange plus? Selon le tableau de bord DNSSEC environ 0,1% environ des domaines .com
prennent en charge DNSSEC. Cela pourrait-il être causé par le manque de prise en charge de DNSSEC par les bureaux d'enregistrement et les fournisseurs DNS, l'information est-elle trop difficile à trouver ou peut-être que personne ne s'en soucie? Il n'y a même pas de balise "dnssec" ici.
L'information est étonnamment difficile à trouver. C'est pourquoi je demande une expérience directe et des recommandations personnelles.
Quelqu'un a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web opérationnel entièrement sécurisé avec DNSSEC?
Quelqu'un at-il intégré avec succès DNSSEC avec des certificats SSL pour s’assurer que seul le certificat de droite pouvait être validé par le navigateur et que tous les certificats SSL non autorisés ou certificats pour des noms non qualifiés être rejeté?
Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?
Quelqu'un peut-il recommander un bureau d'enregistrement non mentionné ci-dessus?
Une bonne expérience? Mauvaise expérience?
Ce site web: https://pointless.net/
Est-ce que dnssec est signé et utilise un enregistrement TLSA ( RFC6698 ) pour sécuriser le certificat SSL (qui est également signé par CA CERT , une sorte de site Web d'autorité de confiance en source ouverte).
J'exécute mes propres serveurs de noms et utilise Easydns en tant que bureau d'enregistrement. Cependant, Easydns ne prend pas en charge l'enregistrement d'un enregistrement DS dans la zone .net, de sorte que j'utilise le service ISC Domain Lookaside Validation ( DLV) comme ancre de confiance, qui est libre et utilisée par la majorité des résolveurs de validation DNSSEC. J'utilise également gkg.net pour certains autres domaines et ils prennent en charge l'exécution correcte de DNSSEC.
À l'heure actuelle, aucun navigateur Web (à ma connaissance) ne prend en charge de manière native la validation des enregistrements TLSA. Toutefois, vous pouvez obtenir un complément = module de validation TLSA = pour Firefox, mais il se bloque lors de certaines recherches DNS.
J'ai fait une conférence sur DNSSEC et des sujets connexes au EMFCamp Hackercamp cet été, mes notes et le vidage de liens se trouvent sur le wiki d'EMFCamp .
P.S. Si vous lisez ceci et pensez que DNSSEC et TLSA sont une perte de temps, alors lisez ceci document sur la façon dont le grand pare-feu de China Leaks .
Donc, pour répondre à vos questions récapitulatives:
Quelqu'un a-t-il réellement créé un site Web avec DNSSEC, de l'enregistrement du domaine à la configuration des serveurs DNS, en passant par un site Web opérationnel entièrement sécurisé avec DNSSEC?
oui
Quelqu'un at-il intégré avec succès DNSSEC avec des certificats SSL pour s’assurer que seul le certificat de droite pouvait être validé par le navigateur et que tous les certificats SSL non autorisés ou certificats pour des noms non qualifiés être rejeté?
oui
Quelqu'un peut-il recommander l'un des bureaux d'enregistrement mentionnés ci-dessus?
gkg.net
Quelqu'un peut-il recommander un bureau d'enregistrement non mentionné ci-dessus?
dlv.isc.org, bien qu'il ne s'agisse pas exactement d'un bureau d'enregistrement, il vous permet de contourner des bureaux d'enregistrement qui ne prennent pas en charge dnssec.
Une bonne expérience? Mauvaise expérience?
leçons apprises:
mises à jour:
C'est un bon résumé du courant état d'avancement
mise à jour 13 déc 2012:
J'utilise maintenant gkg.net pour tous mes domaines. J'utilise toujours le service isc dlv, mais je n'en ai plus vraiment besoin.
mise à jour 15 sept. 2014
J'utilise maintenant le nom de domaine
Je n'ai pas d'expérience personnelle avec DNSSEC, je ne peux donc pas vraiment faire de recommandations, mais ce lien depuis le site de l'ICANN affiche une liste des bureaux d'enregistrement actuels qui ont déclaré avoir pris en charge DNSSEC: