डोमेन पंजीयक और DNS होस्टिंग को अच्छे DNSSEC समर्थन के साथ कैसे खोजें?


17

सरलीकृत समस्या

मैं एक डोमेन खरीदना चाहता हूं और एक वेबसाइट बनाना चाहता हूं जो पूरी तरह से DNSSEC के साथ सुरक्षित है ।

मैं यह सुनिश्चित करना चाहता हूं कि ब्राउज़र द्वारा केवल एक सही एसएसएल प्रमाणपत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट एसएसएल प्रमाणपत्र या प्रमाणपत्र अस्वीकार कर दिए जाएंगे।

मैं एक डोमेन कहां खरीद सकता हूं? क्या मुझे प्रमाणपत्र खरीदना चाहिए? (या मुझे CA के बजाय DNSSEC के साथ स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करना चाहिए ?) मैं DNS की मेजबानी कहां कर सकता हूं? कौन से प्रदाता पूरी प्रक्रिया को सबसे सुविधाजनक, सबसे सस्ती, सबसे अधिक पूर्ण, सबसे अधिक पेशेवर, सबसे मजबूत, सबसे सुरक्षित बनाते हैं?

पृष्ठभूमि

मैं सालों से DNS की असुरक्षा के बारे में सुन रहा हूँ । मैं देख चुके दान कामिस्की द्वारा वार्ता के सभी से और दूसरों डीएनएस कारनामे करने के लिए DNS सुरक्षा पैनल के भविष्य । मुझे पता था कि बिना सुरक्षा के डीएनएस का उपयोग करना एक आपदा है। मैंने DNSSEC मानक के विकास का पालन किया। मैंने मुख्य हस्ताक्षर समारोह मनाया ।

इस बीच मैंने हज़ारों एसएसटी सेरेमनी के बारे में पढ़ा, जिसके लिए अयोग्य नाम और दुष्ट एसएसएल सेरेस जारी किए गए थे, जैसे कि सीआईए, एमआई 6, मोसाद और कई अन्य कहानियां जैसे कि SSL के साथ सुरक्षित वेबसाइटों के वर्तमान कार्यान्वयन के साथ समस्याएँ हैं जो DNSSEC द्वारा हल की जा सकती हैं (देखें: A मेजर इंटरनेट माइलस्टोन: एसएसएल गड़बड़ को ठीक करने के लिए DNSSEC और SSL और DNSSEC; और SSL प्रमाणपत्र सत्यापन और DNSSEC )। सब कुछ सही रास्ते पर था और अंत में एक सुरक्षित डीएनएस सिस्टम था।

और अब 2 साल से अधिक समय बाद मैं बस वही करना चाहता था जो सभी ने कहा था कि मुझे क्या करना चाहिए: एक नए डोमेन के लिए DNSSEC का उपयोग करें। इसलिए मुझे एक डोमेन रजिस्ट्रार और एक डीएनएस होस्टिंग सेवा चाहिए जो DNSSEC का समर्थन करती है। हैरानी की बात यह है कि यह पता लगाना भी आसान नहीं है कि कौन डीएनएसएसईसी का समर्थन करता है और किस हद तक। दो साल पहले DNSSEC पर जानकारी प्राप्त करना वास्तव में बहुत आसान था जब हर कोई DNSSEC रियल सून नाउ का समर्थन करने जा रहा था, लेकिन अब साल बीतने लगे हैं और मुझे शायद ही कोई प्रगति दिखाई दे रही है। मुझे उम्मीद है कि मैं सिर्फ गलत जगहों पर देख रहा था और यहां कोई व्यक्ति सभी संदेहों को स्पष्ट करेगा।

मुझे उम्मीद है कि अन्य लोग जो एक सुरक्षित वेबसाइट चाहते हैं, उन्हें भी यह प्रश्न उपयोगी लगेगा।

क्या ज़रूरत है

  • .comडोमेन के लिए पूर्ण DNSSEC समर्थन के साथ रजिस्ट्रार और डीएनएस सर्वर
  • SSL प्रमाणपत्र के साथ DNSSEC का एकीकरण

क्या जरूरत नहीं है

  • IPv6 का समर्थन
  • वेब होस्टिंग
  • और कुछ

मुझे अब तक क्या पता चला

संबंधित सवाल

  1. वेब होस्टिंग कैसे पाएं जो मेरी आवश्यकताओं को पूरा करती है?
  2. DNSSEC को मेरी साइट में जोड़ने के लिए क्या आवश्यक है?
  3. डोमेन प्रदाता या होस्टिंग प्रदाता द्वारा प्रबंधित डीएनएस होस्टिंग बेहतर है?
  4. अच्छी सुरक्षा, DNS होस्टिंग और DNSSEC और IPv6 रिज़ॉल्वर के साथ रजिस्ट्रार?

नहीं में। 1 कोई भी कभी भी DNS का उल्लेख नहीं करता है। नहीं में। 2 उत्तर केवल .seTLD का उल्लेख करते हैं, बहुत कम उत्तर हैं और वे बहुत पुराने हैं। नहीं में। 3 एक उत्तर में कहा गया है "उच्च सुरक्षा की मांग करने वाली परियोजनाओं पर, मैं एक वेब होस्ट की तलाश कर सकता हूं जो DNSSEC का समर्थन करता है" लेकिन अधिक जानकारी प्रदान नहीं की गई है।

केवल प्रासंगिक उत्तर नहीं हैं। 4 जहां easyDNS की सिफारिश किसी ऐसे व्यक्ति द्वारा की जाती है, जिन्होंने कभी भी उनका व्यक्तिगत रूप से उपयोग नहीं किया हो। इस बीच, अक्टूबर 2012 तक, डीएनएसएसईसी का समर्थन आसान डीएनएस फीचर सूची में "बीटा में" के रूप में वर्णित है । एक अन्य साइटगेड की सिफारिश करता है लेकिन DNSSEC के लिए अपनी साइट पर खोज करने से कोई परिणाम नहीं मिलता है। अन्य उत्तर वेब होस्टिंग प्रदाताओं को सलाह देते हैं जो DNSSEC समर्थन की आवश्यकता को पूरा नहीं करते हैं। इसके अलावा ऊपर उल्लिखित प्रश्न केवल DNSSEC (जैसे कि HTTP-केवल लॉगिन कुकीज़, दो-कारक प्रमाणीकरण, कोई DNS रिकॉर्ड सीमा, प्रश्नों के DNS आंकड़े / ऑडिट ट्रेल्स आदि) के अलावा अन्य बहुत विशिष्ट आवश्यकताओं को सूचीबद्ध करता है, जिन्हें बाहर रखा जा सकता है। कई संभावित सिफारिशें अगर कोई केवल DNSSEC समर्थन में रुचि रखता है।

निष्कर्ष

क्या यह संभव है कि DNSSEC अपनाने के अग्रणी गो डैडी होंगे और "विशेषज्ञ" DNS सेवाओं के सभी अभी तक तैयार नहीं हैं?

मैंने सोचा था कि 2012 के अंत तक डोमेन रजिस्ट्रारों और डीएनएस प्रदाताओं के बीच DNSSEC का समर्थन लगभग सार्वभौमिक होगा। मैं हैरान हूं कि समर्थन लगभग कोई नहीं लगता है। क्या यह DNSSEC अपनाने के साथ कुछ गंभीर समस्याओं का परिणाम है? या यह सिर्फ एक गर्म विषय नहीं है और कोई भी परेशान नहीं करता है? DNSSEC स्कोरबोर्ड के अनुसार लगभग 0.1% .comडोमेन DNSSEC का समर्थन करते हैं। क्या रजिस्ट्रार और डीएनएस प्रदाताओं के बीच DNSSEC समर्थन की कमी के कारण हो सकता है, क्या जानकारी बहुत कठिन है या शायद कोई कार नहीं मिल रही है? यहां तक ​​कि "dnssec" टैग भी नहीं है।

सारांश

जानकारी आश्चर्यजनक रूप से कठिन है। यही कारण है कि मैं पहले हाथ के अनुभव और व्यक्तिगत सिफारिशों के लिए कह रहा हूं।

क्या किसी ने यहाँ वास्तव में DNSSEC के साथ एक वेबसाइट स्थापित की है, डोमेन पंजीकरण से लेकर DNS सर्वरों के विन्यास तक, वास्तव में एक ऐसी कार्यशील वेबसाइट है जो DNSSEC के साथ पूरी तरह से सुरक्षित है?

क्या किसी ने SSL प्रमाणपत्र के साथ DNSSEC को सफलतापूर्वक एकीकृत किया है, यह सुनिश्चित करने के लिए कि ब्राउज़र द्वारा केवल एक ही सही प्रमाण पत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट SSL प्रमाणपत्र या प्रमाणपत्रों को अस्वीकार कर दिया जाएगा?

क्या कोई भी उपर्युक्त रजिस्ट्रार में से किसी की सिफारिश कर सकता है?

क्या कोई भी उपर्युक्त का उल्लेख नहीं कर सकता है?

कोई अच्छा अनुभव? बुरा अनुभव?


बड़ा सवाल है। मैं व्यक्तिगत अनुशंसा नहीं दे सकता, लेकिन PIR की इस सूची में DNSSEC प्रदाताओं का अप-टू-डेट समूह है, जिनमें से कुछ का उल्लेख अभी तक आपकी सूची में नहीं किया गया है। इंटरनेट सोसाइटी के पास DNSSEC के साथ एक छोटे लेकिन बढ़ते रजिस्ट्रार के साथ डोमेन पर हस्ताक्षर करने के लिए एक गाइड भी है ।
निक

उल्लेख किया जाना चाहिए कि इंटरनेट सोसायटी के गाइड सभी मूल्य निर्धारण का उल्लेख करते हैं, इसलिए वे बहुत उपयोगी हैं। ऐसा लगता है कि DNSSEC इस समय सभी रजिस्ट्रारों के बीच एक प्रीमियम सेवा है।
निक

धन्यवाद @ अब मैंने आपके लिंक से प्रश्न में जानकारी जोड़ी है।
आरपी

1
मुक्त माध्यमिक / दास सर्वरों की यह सूची ( frankb.us/dns ) (संकेत के साथ कि क्या वे DNSSEC का समर्थन करते हैं) ऐसा लगता है जैसे एक उपयोगी शुरुआती बिंदु आपको यह तय करना चाहिए कि $ 30 / माह का भुगतान करना एक या दो डोमेन के लिए बहुत ही व्यावहारिक है। कि आप सिर्फ GoDaddy के साथ वहां जाना नहीं चाहते हैं, बल्कि कुछ दूरस्थ बैकअप के साथ खुद DNS सेवाओं को रोल करेंगे (जो कि शायद मैं अपने व्यक्तिगत डोमेन के लिए करूंगा, हालांकि मैं शायद एक वाणिज्यिक के लिए Dyn Inc. का उपयोग करूंगा। परियोजना)। जब मैं इसे स्थापित करूँगा, तो मैं यहाँ एक उत्तर में अपने अनुभव लिखूँगा।
एलेक्स डुप्यू

मेरे पास Name.com से .info डोमेन है। DNSSEC प्रबंधन के लिए उनके पास अब एक अलग पेज हैxxx.yyyलिंक में अपने डोमेन के साथ बदलें । हालाँकि, वह पृष्ठ मेरे लिए दो त्रुटियों की रिपोर्ट करता है: 1. DNS में कोई समर्थित DNSKEY रिकॉर्ड नहीं मिला। इसका आमतौर पर मतलब है कि आपका नाम सर्वर DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है। और 2. रजिस्ट्री में कोई DNSSEC रिकॉर्ड नहीं मिला। इसका मतलब है कि आपका डोमेन DNSSEC के लिए ठीक से कॉन्फ़िगर नहीं किया गया है।
एचआरजे

जवाबों:


7

यह वेबसाइट: https://pointless.net/

SSL प्रमाणपत्र को सुरक्षित करने के लिए dnssec पर हस्ताक्षर किए गए हैं और TLSA रिकॉर्ड ( RFC6698 ) का उपयोग करता है (जो CA CERT द्वारा हस्ताक्षरित है , एक प्रकार का ओपन सोर्स वेब ऑफ ट्रस्ट CA)।

मैं अपने स्वयं के नेमसर्वर्स चलाता हूं और ईजीडैन्स को अपने रजिस्ट्रार के रूप में उपयोग करता हूं - हालांकि ईजीडॉन .net ज़ोन में डीएस रिकॉर्ड डालने का समर्थन नहीं करता है, इसलिए मैं आईएससी डोमेन लुकसाइड वैलिडेशन सेवा (डीएलवी) का उपयोग ट्रस्ट एंकर के रूप में करता हूं, जो मुफ़्त है और इसका उपयोग किया जाता है। DNSSEC के अधिकांश विध्वंसक रिज़ॉल्वर को मान्य करते हैं। मैं कुछ अन्य डोमेन के लिए gkg.net का भी उपयोग कर रहा हूं और वे DNSSEC को ठीक से करने में सहायता करते हैं।

वर्तमान में कोई भी वेब ब्राउज़र (जहाँ तक मुझे पता है) के पास TLSA रिकॉर्ड को मान्य करने के लिए मूल समर्थन है, हालांकि आप फ़ायरफ़ॉक्स के लिए एक ऐड-ऑन मान्य करने वाला TLSA प्राप्त कर सकते हैं , लेकिन यह कुछ डीएनएस लुकअप पर लटका हुआ है।

मैंने इस गर्मी में DNSSEC और EMFCamp Hackercamp से संबंधित मामलों पर एक बात की , मेरे नोट्स और लिंक डंप EMFCamp विकि पर हैं

PS यदि आप इसे पढ़ रहे हैं और सोचते हैं कि DNSSEC और TLSA समय की बर्बादी है, तो इस पत्र को पढ़ें कि कैसे चीन के महान फ़ायरवॉल ने लीक्स

तो अपने सारांश सवालों के जवाब देने के लिए:

क्या किसी ने यहाँ वास्तव में DNSSEC के साथ एक वेबसाइट स्थापित की है, डोमेन पंजीकरण से लेकर DNS सर्वरों के विन्यास तक, वास्तव में एक ऐसी कार्यशील वेबसाइट है जो DNSSEC के साथ पूरी तरह से सुरक्षित है?

हाँ

क्या किसी ने SSL प्रमाणपत्र के साथ DNSSEC को सफलतापूर्वक एकीकृत किया है, यह सुनिश्चित करने के लिए कि ब्राउज़र द्वारा केवल एक ही सही प्रमाण पत्र को मान्य किया जा सकता है और अयोग्य नामों के लिए सभी दुष्ट SSL प्रमाणपत्र या प्रमाणपत्रों को अस्वीकार कर दिया जाएगा?

हाँ

क्या कोई भी उपर्युक्त रजिस्ट्रार में से किसी की सिफारिश कर सकता है?

gkg.net

क्या कोई भी उपर्युक्त का उल्लेख नहीं कर सकता है?

dlv.isc.org, जबकि यह वास्तव में एक रजिस्ट्रार नहीं है यह आपको रजिस्ट्रार के आसपास काम करने देता है जो dnssec का समर्थन नहीं करता है।

कोई अच्छा अनुभव? बुरा अनुभव?

सीख सीखी:

  • यदि आप अपने स्वयं के dns सर्वर चलाते हैं, तो आपको dnssec कुंजी रोलओवर के प्रबंधन के लिए कुछ सॉफ़्टवेयर का उपयोग करना चाहिए , मैं zkt हस्ताक्षरकर्ता का उपयोग करता हूं ।
  • आपके पास DNS सर्वर सॉफ़्टवेयर का एक ही टुकड़ा नहीं हो सकता है जो एक आधिकारिक सर्वर और एक मान्य रिज़ॉल्वर दोनों हो - विज्ञापन और आ झंडे टकराते हैं, मुझे अपने नामवर को रिज़ॉल्वर बनने से रोकना पड़ा, इसे लोकलहोस्ट से हटाएं और इसके बजाय लोकलहोस्ट पर उपयोग करें। ।

अपडेट:

यह खेल की वर्तमान स्थिति की एक अच्छी गर्मी है

अपडेट 13 दिसंबर 2012:

अब मैं अपने सभी डोमेन के लिए gkg.net का उपयोग कर रहा हूँ । मैं अभी भी isc dlv सेवा का उपयोग कर रहा हूं, लेकिन मुझे वास्तव में अब इसकी आवश्यकता नहीं है।

अद्यतन 15 सितंबर 2014

अब मैं gandi.net का उपयोग कर रहा हूं


2

मेरे पास DNSSEC के साथ व्यक्तिगत अनुभव नहीं है, इसलिए वास्तव में कोई सिफारिश नहीं कर सकता है, लेकिन ICANN साइट के इस लिंक में उन वर्तमान रजिस्ट्रारों की सूची दिखाई गई है जिन्होंने DNSSEC के लिए समर्थन की सूचना दी है:

http://www.icann.org/en/news/in-focus/dnssec/deployment


धन्यवाद। मैंने इस सूची को पहले ही पढ़ लिया है (मैं इस प्रश्न में इसका उल्लेख करना भूल गया, हो सकता है कि मैं इसे पूर्णता के लिए जोड़ दूं) लेकिन इस सूची के साथ समस्या यह है कि समर्थन स्तर पूरी तरह से अज्ञात है। उदाहरण के लिए गो डैडी सूचीबद्ध है, लेकिन ऐसा लगता है कि DNSSEC एक प्रीमियम सुविधा है जिसके लिए आपको अतिरिक्त शुल्क देना होगा और मुझे नहीं पता कि यह व्यवहार में कैसे काम करता है। Name.com सूचीबद्ध है, DynDNS सूचीबद्ध है, easyDNS सूचीबद्ध है, लेकिन मेरे प्रश्न में जानकारी देखें। यह पता लगाना मुश्किल है कि कौन से रजिस्ट्रार DNSSEC का पूरी तरह से समर्थन करते हैं या वे इसे कितना सुविधाजनक बनाते हैं और इसलिए मैं व्यक्तिगत अनुभव के बारे में पूछ रहा हूं।
आरएसपी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.