¿Cómo encontrar el registrador de dominio y el alojamiento de DNS con un buen soporte de DNSSEC?

Problema simplificado

Quiero comprar un dominio y crear un sitio web que esté completamente seguro con DNSSEC .

Quiero asegurarme de que los navegadores solo puedan validar el certificado SSL correcto y que se rechacen todos los certificados SSL falsos o certificados para nombres no calificados .

¿Dónde puedo comprar un dominio? ¿Whare debo comprar un certificado? (¿O debería usar un certificado autofirmado con DNSSEC en lugar de CA?) ¿Dónde puedo alojar DNS? ¿Qué proveedores hacen que todo el proceso sea más conveniente, más asequible, más completo, más profesional, más robusto y más seguro?

Antecedentes

He estado escuchando sobre la inseguridad del DNS durante años. He visto todas las charlas de Dan Kaminsky y otros, desde exploits de DNS hasta El futuro del Panel de seguridad de DNS . Sabía que usar DNS sin seguridad es un desastre a la espera de que suceda. Seguí el desarrollo del estándar DNSSEC. Celebré la ceremonia de firma de llaves .

Mientras tanto, leí sobre Miles de certificados SSL emitidos para nombres no calificados y certificados SSL falsos emitidos para la CIA, MI6, Mossad y muchas otras historias como esa que muestran problemas con la implementación actual de sitios web protegidos con SSL que DNSSEC podría resolver (ver: A Internet más importantes Milestone: DNSSEC y SSL y DNSSEC para arreglar el lío SSL? y la validación del certificado SSL y DNSSEC ). Todo estaba en el camino correcto para finalmente tener un sistema DNS seguro en su lugar.

Y ahora, más de 2 años después, quería hacer lo que todos decían que debía hacer: usar DNSSEC para un nuevo dominio. Por lo tanto, necesito un registrador de dominio y un servicio de alojamiento de DNS que admita DNSSEC. Sorprendentemente, no es tan fácil incluso descubrir quién admite DNSSEC y en qué medida. En realidad, fue mucho más fácil encontrar información sobre DNSSEC hace dos años, cuando todos iban a apoyar DNSSEC Real Soon Now, pero ahora pasaron los años y casi no veo ningún progreso. Solo espero haber estado buscando en los lugares equivocados y que alguien aquí explique amablemente todas las dudas.

Espero que otras personas que quieran tener un sitio web seguro también encuentren útil esta pregunta.

Qué se necesita

registrador y servidores DNS con soporte completo DNSSEC para .comdominios
integración de DNSSEC con certificados SSL

Lo que no es necesario

Soporte IPv6
Alojamiento web
algo más

Lo que descubrí hasta ahora

Go Daddy ofrece un servicio de DNS Premium por $ 36 adicionales por año que le permite "Asegurar hasta 5 dominios con DNSSEC".
easyDNS tiene DNSSEC disponible en Beta en todos los niveles de servicio (debe habilitar el indicador "beta" en la configuración) pero no parece estar listo para la producción y, a juzgar por la falta de actualizaciones, no es una característica de máxima prioridad ( la última actualización de marzo de 2011 en el blog easyDNS).
Name.com : según The Register ( el registrador de dominios de EE . UU. Hace IPv6, DNSSEC ) tiene soporte DNSSEC desde 2010, pero en este momento (octubre de 2012) no pude encontrar nada relacionado con DNSSEC en su sitio web.
Dynadot que se recomienda muy a menudo no es compatible con DNSSEC
Namecheap que a menudo también se recomienda no es compatible con DNSSEC. La respuesta de soporte de 2011 sugirió que se estaba agregando, pero en 2012 todavía no se otorga ETA a los clientes .
Se suponía que DynDNS era compatible con DNSSEC, encontré un enlace que explicaba el soporte de DNSSEC pero ofrece la página 404 No encontrado y ofrece un cuadro de búsqueda: al buscar DNSSEC obtengo "No se encontraron resultados para su consulta".
Se recomendó GKG en línea para el soporte de DNSSEC, pero es difícil encontrar información sobre el nivel de soporte de DNSSEC: hay una breve explicación sobre qué es DNSSEC y cómo firmar los registros de firmante de delegación en sus preguntas frecuentes, pero no se puede obtener información sobre el nivel de soporte real ser encontrado.
Pregúntele a Slashdot: ¿Qué registradores admiten DNSSEC? desde julio de 2011 - Respuestas enumeran Go Daddy, DynDNS, GKG, Name.com como registradores que admiten DNSSEC pero: ver arriba .
Registradores que admiten la gestión de DNSSEC del usuario final, incluida la entrada de registros DS por parte de ICANN (gracias a Rob por recordármelo ): el problema con esta lista es que se desconoce el nivel de soporte, el hecho de si tiene que pagar por DNSSEC adicional no se mencionan las tarifas, y mucho menos la conveniencia de comprar, configurar y alojar dominios totalmente seguros con DNSSEC y SSL.
Lista de registradores .ORG que han aprobado OT&E para DNSSEC publicada por el Registro de Interés Público - muchos registradores pero están listados para .orgsoporte de TLD y como dicen: "Esto no indica si el registrador ha habilitado un servicio DNSSEC para los registrantes . Póngase en contacto directamente con los registradores para obtener su servicio DNSSEC ".
Cómo asegurar y firmar su dominio con DNSSEC utilizando los registradores de dominio de Internet Society (gracias a Nick por señalarlo) actualmente solo incluye dos que admiten .comTLD en la lista de "registradores que admiten DNSSEC para registro y alojamiento", es decir. Go Daddy (con una tarifa adicional de $ 36 / año) y Dyn (con una tarifa adicional de $ 330 / año) . Consulte Cómo firmar su dominio con DNSSEC con Dyn, Inc y Cómo firmar su dominio con DNSSEC con GoDaddy.com para obtener más detalles.

Preguntas relacionadas

En no. 1 nadie menciona el DNS en absoluto. En no. 2 respuestas solo mencionan el .seTLD, hay muy pocas respuestas y parecen muy desactualizadas. En no. 3 una respuesta dice "En proyectos que exigen mayor seguridad, podría buscar un proveedor de alojamiento web que admita DNSSEC", pero no se proporciona más información.

Las únicas respuestas relevantes están en el no. 4 donde easyDNS es recomendado por alguien que nunca los ha usado personalmente. Mientras tanto, a partir de octubre de 2012, el soporte de DNSSEC se describe como "en beta" en la lista de características de easyDNS . Otro recomienda SiteGround, pero la búsqueda de DNSSEC en su sitio no arroja resultados. Otras respuestas recomiendan proveedores de alojamiento web que no cumplan con los requisitos de soporte DNSSEC. Además, la pregunta mencionada anteriormente enumera 9 requisitos muy específicos además de DNSSEC (por ejemplo, cookies de inicio de sesión solo HTTP, autenticaciones de dos factores, sin límites de registro DNS, estadísticas DNS de consultas / día, pistas de auditoría, etc.) que podrían haber excluido muchas recomendaciones posibles si solo está interesado en el soporte DNSSEC.

Conclusiones

¿Es posible que el pionero de la adopción de DNSSEC sea Go Daddy y que todos los servicios DNS "expertos" aún no estén listos?

Pensé que para fines de 2012 el soporte de DNSSEC entre los registradores de dominios y los proveedores de DNS sería casi universal. Me sorprende que el soporte parezca prácticamente inexistente. ¿Es esto el resultado de algunos problemas serios con la adopción de DNSSEC? ¿O simplemente no es un tema candente y ya nadie se molesta? Según el DNSSEC Scoreboard, aproximadamente el 0.1% de los .comdominios son compatibles con DNSSEC. ¿Podría ser esto debido a la falta de soporte DNSSEC entre los registradores y los proveedores de DNS? ¿Es la información demasiado difícil de encontrar o quizás a nadie le importe? Incluso no hay una etiqueta "dnssec" aquí.

Resumen

La información es sorprendentemente difícil de encontrar. Es por eso que solicito experiencia de primera mano y recomendaciones personales.

¿Alguien aquí ha creado un sitio web con DNSSEC, desde el registro del dominio hasta la configuración de los servidores DNS, hasta tener un sitio web que funcione y esté completamente seguro con DNSSEC?

¿Alguien ha integrado con éxito DNSSEC con certificados SSL para asegurarse de que solo el certificado correcto pueda ser validado por el navegador y se rechazarán todos los certificados SSL falsos o certificados para nombres no calificados ?

¿Alguien puede recomendar alguno de los registradores mencionados anteriormente?

¿Alguien puede recomendar algún registrador no mencionado anteriormente?

Alguna buena experiencia? ¿Mala experiencia?

— rsp
fuente

Gran pregunta No puedo ofrecer una recomendación personal, pero esta lista de PIR presenta un grupo actualizado de proveedores de DNSSEC, algunos de los cuales no se mencionan en su lista hasta ahora. Internet Society también tiene una guía sobre la firma de dominios con DNSSEC con un número pequeño pero creciente de registradores.

— Nick

Debería haber mencionado que todas las guías de Internet Society mencionan los precios, por lo que son bastante útiles. Parece que DNSSEC es un servicio premium entre todos los registradores en este momento.

— Nick

Gracias @Nick. He agregado la información de tus enlaces a la pregunta.

— rsp

Esta lista ( frankb.us/dns ) de servidores secundarios / esclavos gratuitos (con indicación de si son compatibles con DNSSEC) parece un punto de partida útil si decide que pagar a Dyn Inc. $ 30 / mes es demasiado caro para uno o dos dominios, y que simplemente no desea ir allí con GoDaddy, sino que prefiere rodar los servicios de DNS usted mismo con alguna copia de seguridad remota (que es lo que probablemente haré para mis dominios personales, aunque probablemente usaría Dyn Inc. para un comercial proyecto). Cuando lo configure, escribiré mis experiencias en una respuesta aquí.

— Alex Dupuy

Tengo un dominio .info de Name.com. Ahora tienen una página separada para la gestión de DNSSEC. Reemplace xxx.yyycon su dominio en el enlace. Sin embargo, esa página informa dos errores para mí: 1. No se encontraron registros DNSKEY compatibles en DNS. Esto generalmente significa que sus servidores de nombres no están configurados correctamente para DNSSEC. y 2. No se encontraron registros DNSSEC en el registro. Esto significa que su dominio no está configurado correctamente para DNSSEC.

— HRJ

Este sitio web: https://pointless.net/

Está firmado por dnssec y utiliza un registro TLSA ( RFC6698 ) para asegurar el certificado SSL (que también está firmado por CA CERT , una especie de web de código abierto de confianza CA).

Ejecuto mis propios servidores de nombres y uso Easydns como mi registrador; sin embargo, Easydns no admite poner un registro DS en la zona .net, así que uso el servicio de validación de Lookaside de dominio (DLV) ISC como el ancla de confianza, que es gratis y se usa por la mayoría de los solucionadores de validación de DNSSEC. También estoy usando gkg.net para algunos otros dominios y ellos admiten hacer DNSSEC correctamente.

Actualmente, ningún navegador web (que yo sepa) tiene soporte nativo para validar registros TLSA, sin embargo, puede obtener un complemento de validación TLSA para firefox, pero se cuelga en algunas búsquedas de DNS.

Hice una charla sobre DNSSEC y asuntos relacionados en el Hackercamp EMFCamp este verano, mis notas y el volcado de enlaces están en el wiki de EMFCamp .

PD: si está leyendo esto y cree que DNSSEC y TLSA son una pérdida de tiempo, lea este documento sobre cómo se filtra el Gran Firewall de China .

Entonces, para responder sus preguntas de resumen:

¿Alguien aquí ha creado un sitio web con DNSSEC, desde el registro del dominio hasta la configuración de los servidores DNS, hasta tener un sitio web que funcione y esté completamente seguro con DNSSEC?

¿Alguien ha integrado con éxito DNSSEC con certificados SSL para asegurarse de que solo el certificado correcto pueda ser validado por el navegador y se rechazarán todos los certificados SSL falsos o certificados para nombres no calificados ?

¿Alguien puede recomendar alguno de los registradores mencionados anteriormente?

gkg.net

¿Alguien puede recomendar algún registrador no mencionado anteriormente?

dlv.isc.org, aunque no es exactamente un registrador, le permite trabajar con registradores que no admiten dnssec.

Alguna buena experiencia? ¿Mala experiencia?

lecciones aprendidas:

Si ejecuta sus propios servidores dns, debe usar algún software para administrar las transferencias de claves dnssec, utilizo zkt signer .
no puede hacer que el mismo software de servidor DNS sea tanto un servidor autorizado como un solucionador de validación: el anuncio y las banderas chocan, tuve que evitar que mi servidor de nombres sea un solucionador, desvincularlo de localhost y usar unbound en localhost en su lugar .

actualizaciones:

Este es un buen resumen del estado actual del juego.

actualización 13 dic 2012:

Ahora estoy usando gkg.net para todos mis dominios. Todavía estoy usando el servicio isc dlv, pero ya no lo necesito.

actualizar 15 sep 2014

Ahora estoy usando gandi.net

— JasperWallace
fuente

No tengo experiencia personal con DNSSEC, así que realmente no puedo hacer ninguna recomendación, pero este enlace desde el sitio de ICANN muestra una lista de los registradores actuales que han informado de soporte para DNSSEC:

http://www.icann.org/en/news/in-focus/dnssec/deployment

— Robar
fuente

Gracias. Ya leí esta lista (olvidé mencionarla en la pregunta, tal vez la agregue para completarla) pero el problema con esta lista es que el nivel de soporte es completamente desconocido. Por ejemplo, Go Daddy aparece en la lista, pero parece que DNSSEC es una función premium por la que tiene que pagar tarifas adicionales y no sé cómo funciona en la práctica. Name.com está en la lista, DynDNS está en la lista, easyDNS está en la lista, pero vea la información en mi pregunta. Es difícil encontrar qué registradores son totalmente compatibles con DNSSEC o qué tan conveniente lo hacen y es por eso que estoy preguntando acerca de la experiencia personal.

— rsp