単純化された問題
ドメインを購入し、DNSSECで完全に保護されたWebサイトを作りたい。
正しいSSL証明書のみがブラウザーで検証され、不正なSSL証明書または非修飾名の証明書がすべて拒否されることを確認したいと思います。
ドメインはどこで購入できますか?証明書を購入する必要がありますか?(または、 CA ではなく DNSSECで自己署名証明書を使用する必要がありますか?)どこでDNSをホストできますか?プロセス全体を最も便利で手頃な価格で、最も完全で、最も専門的で、最も堅牢で、最も安全なものにしているプロバイダーはどれですか
バックグラウンド
私は何年もの間DNSの不安について聞いてきました。私は、Dan KaminskyなどによるDNSエクスプロイト からThe DNS Security Panelの未来までのすべての講演を見てきました。セキュリティなしでDNSを使用することは、起こるのを待っている災害であることを知っていました。DNSSEC規格の開発に従いました。調印式を祝いました。
一方、CIA、MI6、Mossad、およびDNSSECによって解決できるSSLで保護されたWebサイトの現在の実装に関する問題を示すような他の多くのストーリーについて、非修飾名に発行された数千のSSL証明書と不正なSSL証明書について読みました(参照:A主要なインターネットのマイルストーン:DNSSECとSSLおよびDNSSECは、SSLの混乱とSSL証明書の検証とDNSSEC を修正します)。安全なDNSシステムを最終的に導入するためのすべてが適切な軌道に乗っていました。
そして今、2年以上後、私は誰もがやるべきだと言ったことをしたかっただけです。新しいドメインにDNSSECを使用します。したがって、ドメインレジストラーとDNSSECをサポートするDNSホスティングサービスが必要です。驚くべきことに、誰がどの程度DNSSECをサポートしているかを知ることはそれほど簡単ではありません。実際、2年前にDNSSECの情報を見つけるのははるかに簡単でしたが、誰もがDNSSECをすぐにサポートする予定でしたが、今では何年も経ち、進捗はほとんど見られません。間違った場所を見ているだけで、ここの誰かがすべての疑問を親切に説明してくれることを願っています。
安全なウェブサイトを作りたい他の人にもこの質問が役に立つと思うことを願っています。
何が必要とされているか
.comドメインのDNSSECを完全にサポートするレジストラとDNSサーバー- DNSSECとSSL証明書の統合
不要なもの
- IPv6サポート
- ウェブホスティング
- それ以上
これまでにわかったこと
- Go Daddyは、年間36ドルのプレミアムDNSサービスを提供しています。これにより、「DNSSECで最大5つのドメインを保護」できます。
- easyDNSでは、すべてのサービスレベルでDNSSECをベータ版で利用できます(設定で「ベータ版」フラグを有効にする必要があります)が、実稼働準備ができていないようで、更新の不足から判断すると、最優先の機能ではありません(easyDNSブログの2011年3月からの最後の更新)。
- Name.com -The Register(米国のドメインレジストラはIPv6、DNSSEC)によると、2010年からDNSSECをサポートしていますが、現時点(2012年10月)では、DNSSECに関連するものはWebサイトで見つかりませんでした。
- 頻繁に推奨されるDynadotはDNSSECをサポートしていません
- よく推奨されるNamecheapは、DNSSECをサポートしていません。2011年のサポートの回答では、追加されたことが示唆されましたが、2012年にはまだETAが顧客に提供されていません。
- DynDNSはDNSSECをサポートするはずでしたが、DNSSECサポートを説明するリンクを見つけましたが、404 Not Foundページを提供し、検索ボックスを提供します-DNSSECを検索すると、「クエリの結果が見つかりません」と表示されます。
- GSECはDNSSECサポートのためにオンラインで推奨されましたが、DNSSECサポートのレベルに関する情報を見つけることは困難です-DNSSECとは何か、および委任署名者レコードに署名する方法についての簡単な説明がFAQにありますが、実際のサポートのレベルに関する情報はありません見つけられた。
- Ask Slashdot:どのレジストラがDNSSECをサポートしていますか?: - 2011年7月からの回答は、サポートDNSSECしかしがあること、レジストラとしてゴーダディ、DynDNSの、GKG、Name.comをリスト上記を参照してください。
- ICANNによるDSレコードの入力を含め、エンドユーザーのDNSSEC管理をサポートするレジストラ(このことを思い出してくれたRobに感謝します)-このリストの問題は、サポートのレベルが不明であり、DNSSECに追加料金を支払う必要があるかどうかという事実ですDNSSECおよびSSLで完全に保護されたドメインの購入、設定、ホスティングの利便性は言うまでもなく、料金については言及されていません。
- Public Interest Registryによって公開されたDNSSECのOT&Eに合格した.ORGレジストラのリスト -多くのレジストラがリストされていますが、
.orgTLDサポート用にリストされており、「レジストラがDNSSECサービスを登録者に対して有効にしたかどうかは示していません」 。DNSSECサービスについては、レジストラに直接お問い合わせください。」 - ドメインレジストラを使用したドメインでDNSSECを確保し、署名する方法によりインターネット協会(のおかげでニックそれを指摘して)現在のリストを2つだけサポートその
.com「レジストラは、登録のためDNSSECのサポートとホスティング」すなわちのリスト上のTLD。Go Daddy(追加費用36ドル/年)およびDyn(追加費用330ドル/年)。詳細については、Dyn、Incを使用してDNSSECでドメインに署名する方法およびGoDaddy.comを使用してDNSSECでドメインに署名する方法を参照してください。
関連する質問
- 要件を満たすWebホスティングを見つける方法
- DNSSECをサイトに追加するには何が必要ですか?
- DNSホスティングは、ドメインプロバイダーまたはホスティングプロバイダーにより適切に管理されていますか?
- 優れたセキュリティ、DNSホスティング、DNSSECおよびIPv6リゾルバーを備えたレジストラですか?
いいえ。1 DNSについて言及している人はいません。いいえ。2つの回答は.seTLD のみに言及していますが、回答は非常に少なく、非常に時代遅れに見えます。いいえ。3 1つの答えは、「より高いセキュリティを要求するプロジェクトでは、DNSSECをサポートするWebホストを探すかもしれません」と言いますが、それ以上の情報は提供されません。
唯一の関連する答えはありません。4 個人で使用したことがない人がeasyDNSを推奨する場合。一方、2012年10月現在、DNSSECのサポートは、easyDNS機能リストで「ベータ版」と記載されています。もう1つはSiteGroundを推奨していますが、DNSSECのサイトを検索しても結果は返されません。他の回答では、DNSSECサポートの要件を満たさないWebホスティングプロバイダーを推奨しています。また、上記の質問には、DNSSEC以外の9つの非常に特定の要件(たとえば、HTTPのみのログインCookie、2要素認証、DNSレコード制限なし、クエリのDNS統計/日、監査証跡など)がリストされています。 DNSSECサポートのみに関心がある場合の多くの可能な推奨事項。
結論
DNSSEC採用の先駆者がGo Daddyになり、すべての「専門家」DNSサービスがまだ準備できていない可能性はありますか?
2012年末までに、ドメインレジストラとDNSプロバイダーの間でのDNSSECのサポートはほぼ普遍的になると思いました。サポートが事実上存在しないように見えることにショックを受けました。これは、DNSSECの採用に関する重大な問題の結果ですか?それとも、ホットな話題ではなく、もう誰も気にしませんか?DNSSECスコアボードによると、.comドメインの約0.1%がDNSSECをサポートしています。レジストラとDNSプロバイダーの間でDNSSECがサポートされていないことが原因である可能性はありますか?ここには「dnssec」タグさえありません。
概要
情報を見つけるのは驚くほど困難です。それが私が直接の経験と個人的な推薦を求めている理由です。
ドメイン登録からDNSサーバーの構成まで、実際にDNSSECで完全に保護された稼働中のWebサイトを持つまで、DNSSECを使用してWebサイトを実際にセットアップした人はいますか?
DNSSECをSSL証明書と統合して、ブラウザが正しい証明書を1つだけ検証し、不正なSSL証明書または非修飾名の証明書がすべて拒否されるようにすることに成功した人はいますか?
誰でも上記のレジストラを推奨できますか?
上記以外のレジストラを誰でも推奨できますか?
良い経験はありますか?悪い経験?