डोमेन पंजीयक और DNS होस्टिंग को अच्छे DNSSEC समर्थन के साथ कैसे खोजें?

सरलीकृत समस्या

मैं एक डोमेन खरीदना चाहता हूं और एक वेबसाइट बनाना चाहता हूं जो पूरी तरह से DNSSEC के साथ सुरक्षित है ।

मैं यह सुनिश्चित करना चाहता हूं कि ब्राउज़र द्वारा केवल एक सही एसएसएल प्रमाणपत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट एसएसएल प्रमाणपत्र या प्रमाणपत्र अस्वीकार कर दिए जाएंगे।

मैं एक डोमेन कहां खरीद सकता हूं? क्या मुझे प्रमाणपत्र खरीदना चाहिए? (या मुझे CA के बजाय DNSSEC के साथ स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करना चाहिए ?) मैं DNS की मेजबानी कहां कर सकता हूं? कौन से प्रदाता पूरी प्रक्रिया को सबसे सुविधाजनक, सबसे सस्ती, सबसे अधिक पूर्ण, सबसे अधिक पेशेवर, सबसे मजबूत, सबसे सुरक्षित बनाते हैं?

पृष्ठभूमि

मैं सालों से DNS की असुरक्षा के बारे में सुन रहा हूँ । मैं देख चुके दान कामिस्की द्वारा वार्ता के सभी से और दूसरों डीएनएस कारनामे करने के लिए DNS सुरक्षा पैनल के भविष्य । मुझे पता था कि बिना सुरक्षा के डीएनएस का उपयोग करना एक आपदा है। मैंने DNSSEC मानक के विकास का पालन किया। मैंने मुख्य हस्ताक्षर समारोह मनाया ।

इस बीच मैंने हज़ारों एसएसटी सेरेमनी के बारे में पढ़ा, जिसके लिए अयोग्य नाम और दुष्ट एसएसएल सेरेस जारी किए गए थे, जैसे कि सीआईए, एमआई 6, मोसाद और कई अन्य कहानियां जैसे कि SSL के साथ सुरक्षित वेबसाइटों के वर्तमान कार्यान्वयन के साथ समस्याएँ हैं जो DNSSEC द्वारा हल की जा सकती हैं (देखें: A मेजर इंटरनेट माइलस्टोन: एसएसएल गड़बड़ को ठीक करने के लिए DNSSEC और SSL और DNSSEC; और SSL प्रमाणपत्र सत्यापन और DNSSEC )। सब कुछ सही रास्ते पर था और अंत में एक सुरक्षित डीएनएस सिस्टम था।

और अब 2 साल से अधिक समय बाद मैं बस वही करना चाहता था जो सभी ने कहा था कि मुझे क्या करना चाहिए: एक नए डोमेन के लिए DNSSEC का उपयोग करें। इसलिए मुझे एक डोमेन रजिस्ट्रार और एक डीएनएस होस्टिंग सेवा चाहिए जो DNSSEC का समर्थन करती है। हैरानी की बात यह है कि यह पता लगाना भी आसान नहीं है कि कौन डीएनएसएसईसी का समर्थन करता है और किस हद तक। दो साल पहले DNSSEC पर जानकारी प्राप्त करना वास्तव में बहुत आसान था जब हर कोई DNSSEC रियल सून नाउ का समर्थन करने जा रहा था, लेकिन अब साल बीतने लगे हैं और मुझे शायद ही कोई प्रगति दिखाई दे रही है। मुझे उम्मीद है कि मैं सिर्फ गलत जगहों पर देख रहा था और यहां कोई व्यक्ति सभी संदेहों को स्पष्ट करेगा।

मुझे उम्मीद है कि अन्य लोग जो एक सुरक्षित वेबसाइट चाहते हैं, उन्हें भी यह प्रश्न उपयोगी लगेगा।

क्या ज़रूरत है

.comडोमेन के लिए पूर्ण DNSSEC समर्थन के साथ रजिस्ट्रार और डीएनएस सर्वर
SSL प्रमाणपत्र के साथ DNSSEC का एकीकरण

क्या जरूरत नहीं है

IPv6 का समर्थन
वेब होस्टिंग
और कुछ

मुझे अब तक क्या पता चला

गो डैडी प्रति वर्ष अतिरिक्त $ 36 के लिए प्रीमियम डीएनएस सेवा प्रदान करता है जो आपको "DNSSEC के साथ 5 डोमेन तक सुरक्षित करें"।
easyDNS के पास सभी सेवा स्तरों पर बीटा में DNSSEC उपलब्ध है (आपको कॉन्फ़िगरेशन में "बीटा" ध्वज को सक्षम करने की आवश्यकता है) लेकिन यह उत्पादन के लिए तैयार नहीं लगता है और अद्यतनों की कमी को देखते हुए यह सर्वोच्च प्राथमिकता की विशेषता नहीं है ( मार्च 2011 से अंतिम अद्यतन easyDNS पर ब्लॉग)।
Name.com - द रजिस्टर ( यूएस डोमेन रजिस्ट्रार IPv6, DNSSEC करता है ) के अनुसार इसे 2010 से DNSSEC सपोर्ट है लेकिन अभी (अक्टूबर 2012) मुझे उनकी वेबसाइट पर DNSSEC से संबंधित कुछ भी नहीं मिला।
Dynadot जाता है कि बहुत बार की सिफारिश की DNSSEC का समर्थन नहीं करता
Namecheap जो अक्सर अनुशंसित है वह DNSSEC का समर्थन नहीं करता है। 2011 से समर्थन जवाब सुझाव दिया है कि यह जोड़ा जा रहा था, लेकिन 2012 में अभी भी कोई ईटीए ग्राहकों को दिया जाता है ।
डीएनडीएनएस डीएनएसएसईसी का समर्थन करने वाला था, मुझे डीएनएसएसईसी समर्थन की व्याख्या करने वाला एक लिंक मिला, लेकिन यह 404 नॉट फाउंड पेज देता है और एक खोज बॉक्स प्रदान करता है - जब डीएनएसएसईसी की खोज होती है तो मुझे "आपकी क्वेरी के लिए कोई परिणाम नहीं मिला।"
DNKEC समर्थन के लिए GKG की ऑनलाइन अनुशंसा की गई थी, लेकिन DNSSEC समर्थन के स्तर पर कोई भी जानकारी प्राप्त करना कठिन है - DNSSEC क्या है और उनके FAQ में प्रतिनिधि हस्ताक्षर रिकॉर्ड कैसे दर्ज करें, इस पर संक्षिप्त विवरण है , लेकिन वास्तविक समर्थन के स्तर के बारे में कोई जानकारी नहीं मिल सकती है। पाया जायेगा।
स्लैशडॉट से पूछें: कौन से रजिस्ट्रार DNSSEC का समर्थन करते हैं? जुलाई 2011 से - उत्तर सूची में डैडी, डीएनडीएनएस, जीकेजी, नेम डॉट कॉम रजिस्ट्रार के रूप में शामिल हैं जो DNSSEC का समर्थन करते हैं लेकिन ऊपर देखें ।
रजिस्ट्रार कि डी एस रिकॉर्ड की प्रविष्टि सहित समर्थन अंत उपयोगकर्ता DNSSEC प्रबंधन, आईसीएएनएन द्वारा (करने के लिए धन्यवाद रोब के लिए इसके बारे में याद दिलाने ) - इस सूची के साथ समस्या यह है कि समर्थन के स्तर अज्ञात है, सच है कि आप DNSSEC अतिरिक्त के लिए भुगतान करना है कि क्या है फीस का उल्लेख नहीं किया गया है, अकेले डीएनएसएसईसी और एसएसएल के साथ पूरी तरह से सुरक्षित डोमेन खरीदने, कॉन्फ़िगर करने और होस्टिंग की सुविधा दें।
पब्लिक इंटरेस्ट रजिस्ट्री द्वारा प्रकाशित DNSSEC के लिए OT और E पास करने वाले .ORG रजिस्ट्रार की सूची - बहुत सारे रजिस्ट्रार हैं लेकिन वे .orgTLD समर्थन के लिए सूचीबद्ध हैं और जैसा कि वे कहते हैं: "यह इंगित नहीं करता है कि रजिस्ट्रार ने रजिस्ट्रार के लिए DNSSEC सेवा को सक्षम किया है या नहीं" कृपया अपनी DNSSEC सेवा के लिए रजिस्ट्रार से सीधे संपर्क करें। "
इंटरनेट सोसाइटी द्वारा डोमेन रजिस्ट्रारों का उपयोग करके डीएनएसएसईसी के साथ अपने डोमेन को कैसे सुरक्षित और साइन इन करें। ( इसे इंगित करने के लिए निक के लिए धन्यवाद ) वर्तमान में केवल दो सूची है जो .comटीएलडी को "पंजीकरण और होस्टिंग के लिए डीएनएसएसईसी सपोर्टिंग डीएनएसएसईसी की सूची" का समर्थन करते हैं। गो डैडी ($ 36 / वर्ष के अतिरिक्त शुल्क के साथ ) और डायन ($ 330 / वर्ष के अतिरिक्त शुल्क के साथ) । डीएनएसएसईसी, डीएन, इंक का उपयोग करके अपने डोमेन पर हस्ताक्षर करने का तरीका देखें और विवरण के लिए GoDaddy.com का उपयोग करके डीएनएसएसईसी के साथ अपने डोमेन पर हस्ताक्षर कैसे करें ।

निष्कर्ष

क्या यह संभव है कि DNSSEC अपनाने के अग्रणी गो डैडी होंगे और "विशेषज्ञ" DNS सेवाओं के सभी अभी तक तैयार नहीं हैं?

मैंने सोचा था कि 2012 के अंत तक डोमेन रजिस्ट्रारों और डीएनएस प्रदाताओं के बीच DNSSEC का समर्थन लगभग सार्वभौमिक होगा। मैं हैरान हूं कि समर्थन लगभग कोई नहीं लगता है। क्या यह DNSSEC अपनाने के साथ कुछ गंभीर समस्याओं का परिणाम है? या यह सिर्फ एक गर्म विषय नहीं है और कोई भी परेशान नहीं करता है? DNSSEC स्कोरबोर्ड के अनुसार लगभग 0.1% .comडोमेन DNSSEC का समर्थन करते हैं। क्या रजिस्ट्रार और डीएनएस प्रदाताओं के बीच DNSSEC समर्थन की कमी के कारण हो सकता है, क्या जानकारी बहुत कठिन है या शायद कोई कार नहीं मिल रही है? यहां तक कि "dnssec" टैग भी नहीं है।

सारांश

जानकारी आश्चर्यजनक रूप से कठिन है। यही कारण है कि मैं पहले हाथ के अनुभव और व्यक्तिगत सिफारिशों के लिए कह रहा हूं।

क्या किसी ने यहाँ वास्तव में DNSSEC के साथ एक वेबसाइट स्थापित की है, डोमेन पंजीकरण से लेकर DNS सर्वरों के विन्यास तक, वास्तव में एक ऐसी कार्यशील वेबसाइट है जो DNSSEC के साथ पूरी तरह से सुरक्षित है?

क्या किसी ने SSL प्रमाणपत्र के साथ DNSSEC को सफलतापूर्वक एकीकृत किया है, यह सुनिश्चित करने के लिए कि ब्राउज़र द्वारा केवल एक ही सही प्रमाण पत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट SSL प्रमाणपत्र या प्रमाणपत्रों को अस्वीकार कर दिया जाएगा?

क्या कोई भी उपर्युक्त रजिस्ट्रार में से किसी की सिफारिश कर सकता है?

क्या कोई भी उपर्युक्त का उल्लेख नहीं कर सकता है?

कोई अच्छा अनुभव? बुरा अनुभव?

— आरएसपी
स्रोत

बड़ा सवाल है। मैं व्यक्तिगत अनुशंसा नहीं दे सकता, लेकिन PIR की इस सूची में DNSSEC प्रदाताओं का अप-टू-डेट समूह है, जिनमें से कुछ का उल्लेख अभी तक आपकी सूची में नहीं किया गया है। इंटरनेट सोसाइटी के पास DNSSEC के साथ एक छोटे लेकिन बढ़ते रजिस्ट्रार के साथ डोमेन पर हस्ताक्षर करने के लिए एक गाइड भी है ।

— निक

उल्लेख किया जाना चाहिए कि इंटरनेट सोसायटी के गाइड सभी मूल्य निर्धारण का उल्लेख करते हैं, इसलिए वे बहुत उपयोगी हैं। ऐसा लगता है कि DNSSEC इस समय सभी रजिस्ट्रारों के बीच एक प्रीमियम सेवा है।

— निक

धन्यवाद @ अब मैंने आपके लिंक से प्रश्न में जानकारी जोड़ी है।

— आरपी

मुक्त माध्यमिक / दास सर्वरों की यह सूची ( frankb.us/dns ) (संकेत के साथ कि क्या वे DNSSEC का समर्थन करते हैं) ऐसा लगता है जैसे एक उपयोगी शुरुआती बिंदु आपको यह तय करना चाहिए कि $ 30 / माह का भुगतान करना एक या दो डोमेन के लिए बहुत ही व्यावहारिक है। कि आप सिर्फ GoDaddy के साथ वहां जाना नहीं चाहते हैं, बल्कि कुछ दूरस्थ बैकअप के साथ खुद DNS सेवाओं को रोल करेंगे (जो कि शायद मैं अपने व्यक्तिगत डोमेन के लिए करूंगा, हालांकि मैं शायद एक वाणिज्यिक के लिए Dyn Inc. का उपयोग करूंगा। परियोजना)। जब मैं इसे स्थापित करूँगा, तो मैं यहाँ एक उत्तर में अपने अनुभव लिखूँगा।

— एलेक्स डुप्यू

मेरे पास Name.com से .info डोमेन है। DNSSEC प्रबंधन के लिए उनके पास अब एक अलग पेज है । xxx.yyyलिंक में अपने डोमेन के साथ बदलें । हालाँकि, वह पृष्ठ मेरे लिए दो त्रुटियों की रिपोर्ट करता है: 1. DNS में कोई समर्थित DNSKEY रिकॉर्ड नहीं मिला। इसका आमतौर पर मतलब है कि आपका नाम सर्वर DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है। और 2. रजिस्ट्री में कोई DNSSEC रिकॉर्ड नहीं मिला। इसका मतलब है कि आपका डोमेन DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है।

— एचआरजे

यह वेबसाइट: https://pointless.net/

SSL प्रमाणपत्र को सुरक्षित करने के लिए dnssec पर हस्ताक्षर किए गए हैं और TLSA रिकॉर्ड ( RFC6698 ) का उपयोग करता है (जो CA CERT द्वारा हस्ताक्षरित है , एक प्रकार का ओपन सोर्स वेब ऑफ ट्रस्ट CA)।

मैं अपने स्वयं के नेमसर्वर्स चलाता हूं और ईजीडैन्स को अपने रजिस्ट्रार के रूप में उपयोग करता हूं - हालांकि ईजीडॉन .net ज़ोन में डीएस रिकॉर्ड डालने का समर्थन नहीं करता है, इसलिए मैं आईएससी डोमेन लुकसाइड वैलिडेशन सेवा (डीएलवी) का उपयोग ट्रस्ट एंकर के रूप में करता हूं, जो मुफ़्त है और इसका उपयोग किया जाता है। DNSSEC के अधिकांश विध्वंसक रिज़ॉल्वर को मान्य करते हैं। मैं कुछ अन्य डोमेन के लिए gkg.net का भी उपयोग कर रहा हूं और वे DNSSEC को ठीक से करने में सहायता करते हैं।

वर्तमान में कोई भी वेब ब्राउज़र (जहाँ तक मुझे पता है) के पास TLSA रिकॉर्ड को मान्य करने के लिए मूल समर्थन है, हालांकि आप फ़ायरफ़ॉक्स के लिए एक ऐड-ऑन मान्य करने वाला TLSA प्राप्त कर सकते हैं , लेकिन यह कुछ डीएनएस लुकअप पर लटका हुआ है।

मैंने इस गर्मी में DNSSEC और EMFCamp Hackercamp से संबंधित मामलों पर एक बात की , मेरे नोट्स और लिंक डंप EMFCamp विकि पर हैं ।

PS यदि आप इसे पढ़ रहे हैं और सोचते हैं कि DNSSEC और TLSA समय की बर्बादी है, तो इस पत्र को पढ़ें कि कैसे चीन के महान फ़ायरवॉल ने लीक्स ।

तो अपने सारांश सवालों के जवाब देने के लिए:

क्या किसी ने यहाँ वास्तव में DNSSEC के साथ एक वेबसाइट स्थापित की है, डोमेन पंजीकरण से लेकर DNS सर्वरों के विन्यास तक, वास्तव में एक ऐसी कार्यशील वेबसाइट है जो DNSSEC के साथ पूरी तरह से सुरक्षित है?

हाँ

क्या किसी ने SSL प्रमाणपत्र के साथ DNSSEC को सफलतापूर्वक एकीकृत किया है, यह सुनिश्चित करने के लिए कि ब्राउज़र द्वारा केवल एक ही सही प्रमाण पत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट SSL प्रमाणपत्र या प्रमाणपत्रों को अस्वीकार कर दिया जाएगा?

हाँ

क्या कोई भी उपर्युक्त रजिस्ट्रार में से किसी की सिफारिश कर सकता है?

gkg.net

क्या कोई भी उपर्युक्त का उल्लेख नहीं कर सकता है?

dlv.isc.org, जबकि यह वास्तव में एक रजिस्ट्रार नहीं है यह आपको रजिस्ट्रार के आसपास काम करने देता है जो dnssec का समर्थन नहीं करता है।

कोई अच्छा अनुभव? बुरा अनुभव?

सीख सीखी:

यदि आप अपने स्वयं के dns सर्वर चलाते हैं, तो आपको dnssec कुंजी रोलओवर के प्रबंधन के लिए कुछ सॉफ़्टवेयर का उपयोग करना चाहिए , मैं zkt हस्ताक्षरकर्ता का उपयोग करता हूं ।
आपके पास DNS सर्वर सॉफ़्टवेयर का एक ही टुकड़ा नहीं हो सकता है जो एक आधिकारिक सर्वर और एक मान्य रिज़ॉल्वर दोनों हो - विज्ञापन और आ झंडे टकराते हैं, मुझे अपने नामवर को रिज़ॉल्वर बनने से रोकना पड़ा, इसे लोकलहोस्ट से हटाएं और इसके बजाय लोकलहोस्ट पर उपयोग करें। ।

अपडेट:

यह खेल की वर्तमान स्थिति की एक अच्छी गर्मी है

अपडेट 13 दिसंबर 2012:

अब मैं अपने सभी डोमेन के लिए gkg.net का उपयोग कर रहा हूँ । मैं अभी भी isc dlv सेवा का उपयोग कर रहा हूं, लेकिन मुझे वास्तव में अब इसकी आवश्यकता नहीं है।

अद्यतन 15 सितंबर 2014

अब मैं gandi.net का उपयोग कर रहा हूं

— JasperWallace
स्रोत

मेरे पास DNSSEC के साथ व्यक्तिगत अनुभव नहीं है, इसलिए वास्तव में कोई सिफारिश नहीं कर सकता है, लेकिन ICANN साइट के इस लिंक में उन वर्तमान रजिस्ट्रारों की सूची दिखाई गई है जिन्होंने DNSSEC के लिए समर्थन की सूचना दी है:

http://www.icann.org/en/news/in-focus/dnssec/deployment

— लूटना
स्रोत

धन्यवाद। मैंने इस सूची को पहले ही पढ़ लिया है (मैं इस प्रश्न में इसका उल्लेख करना भूल गया, हो सकता है कि मैं इसे पूर्णता के लिए जोड़ दूं) लेकिन इस सूची के साथ समस्या यह है कि समर्थन स्तर पूरी तरह से अज्ञात है। उदाहरण के लिए गो डैडी सूचीबद्ध है, लेकिन ऐसा लगता है कि DNSSEC एक प्रीमियम सुविधा है जिसके लिए आपको अतिरिक्त शुल्क देना होगा और मुझे नहीं पता कि यह व्यवहार में कैसे काम करता है। Name.com सूचीबद्ध है, DynDNS सूचीबद्ध है, easyDNS सूचीबद्ध है, लेकिन मेरे प्रश्न में जानकारी देखें। यह पता लगाना मुश्किल है कि कौन से रजिस्ट्रार DNSSEC का पूरी तरह से समर्थन करते हैं या वे इसे कितना सुविधाजनक बनाते हैं और इसलिए मैं व्यक्तिगत अनुभव के बारे में पूछ रहा हूं।

— आरएसपी