सरलीकृत समस्या
मैं एक डोमेन खरीदना चाहता हूं और एक वेबसाइट बनाना चाहता हूं जो पूरी तरह से DNSSEC के साथ सुरक्षित है ।
मैं यह सुनिश्चित करना चाहता हूं कि ब्राउज़र द्वारा केवल एक सही एसएसएल प्रमाणपत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट एसएसएल प्रमाणपत्र या प्रमाणपत्र अस्वीकार कर दिए जाएंगे।
मैं एक डोमेन कहां खरीद सकता हूं? क्या मुझे प्रमाणपत्र खरीदना चाहिए? (या मुझे CA के बजाय DNSSEC के साथ स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करना चाहिए ?) मैं DNS की मेजबानी कहां कर सकता हूं? कौन से प्रदाता पूरी प्रक्रिया को सबसे सुविधाजनक, सबसे सस्ती, सबसे अधिक पूर्ण, सबसे अधिक पेशेवर, सबसे मजबूत, सबसे सुरक्षित बनाते हैं?
पृष्ठभूमि
मैं सालों से DNS की असुरक्षा के बारे में सुन रहा हूँ । मैं देख चुके दान कामिस्की द्वारा वार्ता के सभी से और दूसरों डीएनएस कारनामे करने के लिए DNS सुरक्षा पैनल के भविष्य । मुझे पता था कि बिना सुरक्षा के डीएनएस का उपयोग करना एक आपदा है। मैंने DNSSEC मानक के विकास का पालन किया। मैंने मुख्य हस्ताक्षर समारोह मनाया ।
इस बीच मैंने हज़ारों एसएसटी सेरेमनी के बारे में पढ़ा, जिसके लिए अयोग्य नाम और दुष्ट एसएसएल सेरेस जारी किए गए थे, जैसे कि सीआईए, एमआई 6, मोसाद और कई अन्य कहानियां जैसे कि SSL के साथ सुरक्षित वेबसाइटों के वर्तमान कार्यान्वयन के साथ समस्याएँ हैं जो DNSSEC द्वारा हल की जा सकती हैं (देखें: A मेजर इंटरनेट माइलस्टोन: एसएसएल गड़बड़ को ठीक करने के लिए DNSSEC और SSL और DNSSEC; और SSL प्रमाणपत्र सत्यापन और DNSSEC )। सब कुछ सही रास्ते पर था और अंत में एक सुरक्षित डीएनएस सिस्टम था।
और अब 2 साल से अधिक समय बाद मैं बस वही करना चाहता था जो सभी ने कहा था कि मुझे क्या करना चाहिए: एक नए डोमेन के लिए DNSSEC का उपयोग करें। इसलिए मुझे एक डोमेन रजिस्ट्रार और एक डीएनएस होस्टिंग सेवा चाहिए जो DNSSEC का समर्थन करती है। हैरानी की बात यह है कि यह पता लगाना भी आसान नहीं है कि कौन डीएनएसएसईसी का समर्थन करता है और किस हद तक। दो साल पहले DNSSEC पर जानकारी प्राप्त करना वास्तव में बहुत आसान था जब हर कोई DNSSEC रियल सून नाउ का समर्थन करने जा रहा था, लेकिन अब साल बीतने लगे हैं और मुझे शायद ही कोई प्रगति दिखाई दे रही है। मुझे उम्मीद है कि मैं सिर्फ गलत जगहों पर देख रहा था और यहां कोई व्यक्ति सभी संदेहों को स्पष्ट करेगा।
मुझे उम्मीद है कि अन्य लोग जो एक सुरक्षित वेबसाइट चाहते हैं, उन्हें भी यह प्रश्न उपयोगी लगेगा।
क्या ज़रूरत है
.com
डोमेन के लिए पूर्ण DNSSEC समर्थन के साथ रजिस्ट्रार और डीएनएस सर्वर- SSL प्रमाणपत्र के साथ DNSSEC का एकीकरण
क्या जरूरत नहीं है
- IPv6 का समर्थन
- वेब होस्टिंग
- और कुछ
मुझे अब तक क्या पता चला
- गो डैडी प्रति वर्ष अतिरिक्त $ 36 के लिए प्रीमियम डीएनएस सेवा प्रदान करता है जो आपको "DNSSEC के साथ 5 डोमेन तक सुरक्षित करें"।
- easyDNS के पास सभी सेवा स्तरों पर बीटा में DNSSEC उपलब्ध है (आपको कॉन्फ़िगरेशन में "बीटा" ध्वज को सक्षम करने की आवश्यकता है) लेकिन यह उत्पादन के लिए तैयार नहीं लगता है और अद्यतनों की कमी को देखते हुए यह सर्वोच्च प्राथमिकता की विशेषता नहीं है ( मार्च 2011 से अंतिम अद्यतन easyDNS पर ब्लॉग)।
- Name.com - द रजिस्टर ( यूएस डोमेन रजिस्ट्रार IPv6, DNSSEC करता है ) के अनुसार इसे 2010 से DNSSEC सपोर्ट है लेकिन अभी (अक्टूबर 2012) मुझे उनकी वेबसाइट पर DNSSEC से संबंधित कुछ भी नहीं मिला।
- Dynadot जाता है कि बहुत बार की सिफारिश की DNSSEC का समर्थन नहीं करता
- Namecheap जो अक्सर अनुशंसित है वह DNSSEC का समर्थन नहीं करता है। 2011 से समर्थन जवाब सुझाव दिया है कि यह जोड़ा जा रहा था, लेकिन 2012 में अभी भी कोई ईटीए ग्राहकों को दिया जाता है ।
- डीएनडीएनएस डीएनएसएसईसी का समर्थन करने वाला था, मुझे डीएनएसएसईसी समर्थन की व्याख्या करने वाला एक लिंक मिला, लेकिन यह 404 नॉट फाउंड पेज देता है और एक खोज बॉक्स प्रदान करता है - जब डीएनएसएसईसी की खोज होती है तो मुझे "आपकी क्वेरी के लिए कोई परिणाम नहीं मिला।"
- DNKEC समर्थन के लिए GKG की ऑनलाइन अनुशंसा की गई थी, लेकिन DNSSEC समर्थन के स्तर पर कोई भी जानकारी प्राप्त करना कठिन है - DNSSEC क्या है और उनके FAQ में प्रतिनिधि हस्ताक्षर रिकॉर्ड कैसे दर्ज करें, इस पर संक्षिप्त विवरण है , लेकिन वास्तविक समर्थन के स्तर के बारे में कोई जानकारी नहीं मिल सकती है। पाया जायेगा।
- स्लैशडॉट से पूछें: कौन से रजिस्ट्रार DNSSEC का समर्थन करते हैं? जुलाई 2011 से - उत्तर सूची में डैडी, डीएनडीएनएस, जीकेजी, नेम डॉट कॉम रजिस्ट्रार के रूप में शामिल हैं जो DNSSEC का समर्थन करते हैं लेकिन ऊपर देखें ।
- रजिस्ट्रार कि डी एस रिकॉर्ड की प्रविष्टि सहित समर्थन अंत उपयोगकर्ता DNSSEC प्रबंधन, आईसीएएनएन द्वारा (करने के लिए धन्यवाद रोब के लिए इसके बारे में याद दिलाने ) - इस सूची के साथ समस्या यह है कि समर्थन के स्तर अज्ञात है, सच है कि आप DNSSEC अतिरिक्त के लिए भुगतान करना है कि क्या है फीस का उल्लेख नहीं किया गया है, अकेले डीएनएसएसईसी और एसएसएल के साथ पूरी तरह से सुरक्षित डोमेन खरीदने, कॉन्फ़िगर करने और होस्टिंग की सुविधा दें।
- पब्लिक इंटरेस्ट रजिस्ट्री द्वारा प्रकाशित DNSSEC के लिए OT और E पास करने वाले .ORG रजिस्ट्रार की सूची - बहुत सारे रजिस्ट्रार हैं लेकिन वे
.org
TLD समर्थन के लिए सूचीबद्ध हैं और जैसा कि वे कहते हैं: "यह इंगित नहीं करता है कि रजिस्ट्रार ने रजिस्ट्रार के लिए DNSSEC सेवा को सक्षम किया है या नहीं" कृपया अपनी DNSSEC सेवा के लिए रजिस्ट्रार से सीधे संपर्क करें। " - इंटरनेट सोसाइटी द्वारा डोमेन रजिस्ट्रारों का उपयोग करके डीएनएसएसईसी के साथ अपने डोमेन को कैसे सुरक्षित और साइन इन करें। ( इसे इंगित करने के लिए निक के लिए धन्यवाद ) वर्तमान में केवल दो सूची है जो
.com
टीएलडी को "पंजीकरण और होस्टिंग के लिए डीएनएसएसईसी सपोर्टिंग डीएनएसएसईसी की सूची" का समर्थन करते हैं। गो डैडी ($ 36 / वर्ष के अतिरिक्त शुल्क के साथ ) और डायन ($ 330 / वर्ष के अतिरिक्त शुल्क के साथ) । डीएनएसएसईसी, डीएन, इंक का उपयोग करके अपने डोमेन पर हस्ताक्षर करने का तरीका देखें और विवरण के लिए GoDaddy.com का उपयोग करके डीएनएसएसईसी के साथ अपने डोमेन पर हस्ताक्षर कैसे करें ।
संबंधित सवाल
- वेब होस्टिंग कैसे पाएं जो मेरी आवश्यकताओं को पूरा करती है?
- DNSSEC को मेरी साइट में जोड़ने के लिए क्या आवश्यक है?
- डोमेन प्रदाता या होस्टिंग प्रदाता द्वारा प्रबंधित डीएनएस होस्टिंग बेहतर है?
- अच्छी सुरक्षा, DNS होस्टिंग और DNSSEC और IPv6 रिज़ॉल्वर के साथ रजिस्ट्रार?
नहीं में। 1 कोई भी कभी भी DNS का उल्लेख नहीं करता है। नहीं में। 2 उत्तर केवल .se
TLD का उल्लेख करते हैं, बहुत कम उत्तर हैं और वे बहुत पुराने हैं। नहीं में। 3 एक उत्तर में कहा गया है "उच्च सुरक्षा की मांग करने वाली परियोजनाओं पर, मैं एक वेब होस्ट की तलाश कर सकता हूं जो DNSSEC का समर्थन करता है" लेकिन अधिक जानकारी प्रदान नहीं की गई है।
केवल प्रासंगिक उत्तर नहीं हैं। 4 जहां easyDNS की सिफारिश किसी ऐसे व्यक्ति द्वारा की जाती है, जिन्होंने कभी भी उनका व्यक्तिगत रूप से उपयोग नहीं किया हो। इस बीच, अक्टूबर 2012 तक, डीएनएसएसईसी का समर्थन आसान डीएनएस फीचर सूची में "बीटा में" के रूप में वर्णित है । एक अन्य साइटगेड की सिफारिश करता है लेकिन DNSSEC के लिए अपनी साइट पर खोज करने से कोई परिणाम नहीं मिलता है। अन्य उत्तर वेब होस्टिंग प्रदाताओं को सलाह देते हैं जो DNSSEC समर्थन की आवश्यकता को पूरा नहीं करते हैं। इसके अलावा ऊपर उल्लिखित प्रश्न केवल DNSSEC (जैसे कि HTTP-केवल लॉगिन कुकीज़, दो-कारक प्रमाणीकरण, कोई DNS रिकॉर्ड सीमा, प्रश्नों के DNS आंकड़े / ऑडिट ट्रेल्स आदि) के अलावा अन्य बहुत विशिष्ट आवश्यकताओं को सूचीबद्ध करता है, जिन्हें बाहर रखा जा सकता है। कई संभावित सिफारिशें अगर कोई केवल DNSSEC समर्थन में रुचि रखता है।
निष्कर्ष
क्या यह संभव है कि DNSSEC अपनाने के अग्रणी गो डैडी होंगे और "विशेषज्ञ" DNS सेवाओं के सभी अभी तक तैयार नहीं हैं?
मैंने सोचा था कि 2012 के अंत तक डोमेन रजिस्ट्रारों और डीएनएस प्रदाताओं के बीच DNSSEC का समर्थन लगभग सार्वभौमिक होगा। मैं हैरान हूं कि समर्थन लगभग कोई नहीं लगता है। क्या यह DNSSEC अपनाने के साथ कुछ गंभीर समस्याओं का परिणाम है? या यह सिर्फ एक गर्म विषय नहीं है और कोई भी परेशान नहीं करता है? DNSSEC स्कोरबोर्ड के अनुसार लगभग 0.1% .com
डोमेन DNSSEC का समर्थन करते हैं। क्या रजिस्ट्रार और डीएनएस प्रदाताओं के बीच DNSSEC समर्थन की कमी के कारण हो सकता है, क्या जानकारी बहुत कठिन है या शायद कोई कार नहीं मिल रही है? यहां तक कि "dnssec" टैग भी नहीं है।
सारांश
जानकारी आश्चर्यजनक रूप से कठिन है। यही कारण है कि मैं पहले हाथ के अनुभव और व्यक्तिगत सिफारिशों के लिए कह रहा हूं।
क्या किसी ने यहाँ वास्तव में DNSSEC के साथ एक वेबसाइट स्थापित की है, डोमेन पंजीकरण से लेकर DNS सर्वरों के विन्यास तक, वास्तव में एक ऐसी कार्यशील वेबसाइट है जो DNSSEC के साथ पूरी तरह से सुरक्षित है?
क्या किसी ने SSL प्रमाणपत्र के साथ DNSSEC को सफलतापूर्वक एकीकृत किया है, यह सुनिश्चित करने के लिए कि ब्राउज़र द्वारा केवल एक ही सही प्रमाण पत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट SSL प्रमाणपत्र या प्रमाणपत्रों को अस्वीकार कर दिया जाएगा?
क्या कोई भी उपर्युक्त रजिस्ट्रार में से किसी की सिफारिश कर सकता है?
क्या कोई भी उपर्युक्त का उल्लेख नहीं कर सकता है?
कोई अच्छा अनुभव? बुरा अनुभव?
xxx.yyy
लिंक में अपने डोमेन के साथ बदलें । हालाँकि, वह पृष्ठ मेरे लिए दो त्रुटियों की रिपोर्ट करता है: 1. DNS में कोई समर्थित DNSKEY रिकॉर्ड नहीं मिला। इसका आमतौर पर मतलब है कि आपका नाम सर्वर DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है। और 2. रजिस्ट्री में कोई DNSSEC रिकॉर्ड नहीं मिला। इसका मतलब है कि आपका डोमेन DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है।