좋은 DNSSEC 지원으로 도메인 등록 기관과 DNS 호스팅을 찾는 방법은 무엇입니까?

단순화 된 문제

도메인을 구입하고 DNSSEC으로 완전히 보안 된 웹 사이트를 만들고 싶습니다 .

브라우저에서 하나의 올바른 SSL 인증서 만 유효성 검증 할 수 있고 규정되지 않은 이름에 대한 모든 악성 SSL 인증서 또는 인증서 가 거부 되는지 확인하고 싶습니다 .

도메인은 어디에서 구입할 수 있습니까? 인증서를 구입해야합니까? (또는 CA 대신 DNSSEC와 함께 자체 서명 된 인증서를 사용해야 합니까?) DNS는 어디에서 호스팅 할 수 있습니까? 전체 프로세스를 가장 편리하고, 가장 저렴하고, 완벽하고, 전문적이고, 강력하고, 가장 안전하게 만드는 공급자는 무엇입니까?

배경

몇 년 동안 DNS의 불안에 대해 들었 습니다. 나는 Dan Kaminsky 와 다른 사람들이 DNS 악용 에서 DNS 보안 패널의 미래에 이르기까지 모든 대화를 보았습니다 . 보안없이 DNS를 사용하는 것은 재앙이 될 것이라는 것을 알고있었습니다. 나는 DNSSEC 표준의 개발을 따랐다. 나는 키 서명 행사를 축하 했다 .

그 사이에 나는 읽어 발행 SSL 인증서 표시에 규정되지 않은 이름의 수천 과 CIA, MI6, 모사드 발급 악성 SSL 인증서 표시 및 DNSSEC에 의해 해결 될 수 SSL로 보안 웹 사이트의 현재 구현에 문제가 보여주는 것은 (참조 같은 많은 다른 이야기 : 를 주요 인터넷 이정표 : SSLSE ?를 수정하기위한 DNSSEC 및 SSL 및 DNSSEC 및 SSL 인증서 유효성 검사 및 DNSSEC ). 안전한 DNS 시스템을 갖추기 위해 모든 것이 올바르게 진행되었습니다.

그리고 2 년이 지난 지금 저는 모든 사람들이해야 할 일을하고 싶었습니다. 새로운 도메인에 DNSSEC를 사용하십시오. 그래서 도메인 등록 기관과 DNSSEC를 지원하는 DNS 호스팅 서비스가 필요합니다. 놀랍게도 누가 DNSSEC를 지원하고 어느 정도까지 지원하는지 쉽게 알 수는 없습니다. 모든 사람들이 DNSSEC Real Soon Now 를 지원 하려고 했을 때 2 년 전에 DNSSEC에 대한 정보를 찾는 것이 실제로 훨씬 쉬웠 지만 지금은 몇 년이 지났고 진행 상황이 거의 보이지 않습니다. 나는 단지 내가 틀린 곳을보고 있었으면 좋겠다. 여기서 누군가가 모든 의심을 친절하게 설명 할 것이다.

안전한 웹 사이트를 원하는 다른 사람들도이 질문이 도움이되기를 바랍니다.

필요한 것

• .com도메인에 대한 완전한 DNSSEC 지원을 제공하는 레지스트라 및 DNS 서버
• SSLSE와 DNSSEC의 통합

필요하지 않은 것

• IPv6 지원
• 웹 호스팅
• 더 많은 것

내가 지금까지 알아 낸 것

• Go Daddy 는 연간 $ 36의 프리미엄 DNS 서비스를 제공하여 "DNSSEC로 최대 5 개의 도메인을 보호 할 수 있습니다".
• easyDNS 는 모든 서비스 수준에 걸쳐 베타에서 DNSSEC를 사용할 수 있지만 (구성에서 "베타"플래그를 활성화해야 함) 업데이트가 완료되지 않아 제작 준비가되지 않은 것으로 보이며 우선 순위가 가장 높은 기능은 아닙니다 ( easyDNS 블로그 에서 2011 년 3 월 의 마지막 업데이트 ).
• Name.com -Register ( 미국 도메인 등록 기관은 IPv6, DNSSEC를 수행함 ) 에 따르면 2010 년 이후 DNSSEC를 지원하지만 현재 (2012 년 10 월) 웹 사이트에서 DNSSEC와 관련된 항목을 찾을 수 없습니다.
• 매우 자주 권장되는 Dynadot 는 DNSSEC를 지원하지 않습니다
• 종종 권장되는 Namecheap 은 DNSSEC를 지원하지 않습니다. 2011 년 의 지원 답변에 따르면 2011 년 에는 추가 될 예정이지만 2012 년에는 고객에게 ETA가 제공되지 않습니다 .
• DynDNS 는 DNSSEC를 지원하기로되어 있는데 DNSSEC 지원을 설명하는 링크를 찾았 지만 404 찾을 수 없음 페이지를 제공하고 검색 상자를 제공합니다. DNSSEC를 검색 할 때 "조회에 대한 결과가 없습니다"가 표시됩니다.
• GKG은 DNSSEC 지원을 위해 온라인으로 추천되었다지만 DNSSEC 지원 수준에 대한 정보를 찾기 어렵다 -에 대한 간략한 설명이 DNSSEC 무엇 과 어떻게 위임 서명자 기록에 서명하는 자신의 질문에 있지만 실제 지원 캔의 수준에 대한 정보는 발견된다.
• Slashdot에 문의하십시오 : 어떤 등록 기관이 DNSSEC를 지원합니까? 2011 년 7 월부터-답변 목록 DNSSEC를 지원하는 등록 기관으로 Daddy, DynDNS, GKG, Name.com으로 이동하지만 위를 참조하십시오 .
• ICANN에 의한 DS 레코드 입력을 포함하여 최종 사용자 DNSSEC 관리를 지원 하는 레지스트라 ( 내 정보 를 상기시켜 준 Rob 에게 감사드립니다 )-이 목록의 문제점은 지원 수준을 알 수 없다는 것입니다. DNSSEC 추가 비용을 지불해야하는지 여부 DNSSEC 및 SSL로 완전히 보안 된 도메인의 구매, 구성 및 호스팅의 편리함은 물론 수수료는 언급되지 않았습니다.
• Public Interest Registry 에서 공개 한 DNSSEC에 대한 OT & E를 통과 한 .ORG 등록 기관 목록 -많은 등록 기관이 있지만 .orgTLD 지원 목록에 등록되어 있으며 다음 과 같이 말합니다. "DNSSEC 서비스에 대해서는 등록 기관에 직접 문의하십시오."
• 인터넷 협회 ( Internet Society)의 도메인 등록 기관 을 사용하여 DNSSEC로 도메인을 보호하고 서명하는 방법 (이를 지적한 Nick 에게 감사함 )은 현재 "등록 및 호스팅을 위해 DNSSEC를 지원하는 등록자"목록에 TLD 를 지원하는 2 명만 나열 .com하고 있습니다. Daddy (추가 비용 $ 36 / 년) 및 Dyn (추가 비용 $ 330 / 년)으로 이동하십시오 . 자세한 내용은 Dyn, Inc를 사용하여 DNSSEC로 도메인에 서명하는 방법 및 GoDaddy.com 을 사용하여 DNSSEC로 도메인에 서명하는 방법을 참조하십시오.

관련 질문

1. 요구 사항에 맞는 웹 호스팅을 찾는 방법은 무엇입니까?
2. 내 사이트에 DNSSEC를 추가하려면 무엇이 필요합니까?
3. 도메인 제공 업체 또는 호스팅 제공 업체가 더 나은 DNS 호스팅 관리
4. 우수한 보안, DNS 호스팅, DNSSEC 및 IPv6 확인자를 갖춘 등록 기관?

아니 1 아무도 DNS를 언급 한 적이 없습니다. 아니 2 답변은 .seTLD 만 언급하고 답변 은 거의 없으며 구식으로 보입니다. 아니 한 가지 답변은 "보안 수준이 더 높은 프로젝트에서는 DNSSEC를 지원하는 웹 호스트를 찾을 수 있습니다."라고 말하지만 더 이상 정보는 제공되지 않습니다.

유일한 관련 답변은 없습니다. 4 easyDNS 는 개인적으로 사용하지 않은 사람이 권장합니다. 한편, 2012 년 10 월 현재, easyDNS 기능 목록 에서 DNSSEC 지원은 "베타 버전"으로 설명되어 있습니다. 다른 사이트는 SiteGround를 권장 하지만 사이트에서 DNSSEC를 검색하면 결과가 반환되지 않습니다. 다른 답변은 DNSSEC 지원 요구 사항을 충족하지 않는 웹 호스팅 제공 업체를 권장합니다. 또한 위에서 언급 한 질문에는 DNSSEC 이외의 9 가지 매우 구체적인 요구 사항 (예 : HTTP 전용 로그인 쿠키, 2 단계 인증, DNS 레코드 제한 없음, 쿼리 / 일의 DNS 통계, 감사 내역 등)이 나열되어 있습니다. DNSSEC 지원에만 관심이있는 경우 가능한 많은 권장 사항.

결론

DNSSEC 채택의 선구자가 Go Daddy 일 수 있으며 모든 "전문가"DNS 서비스가 아직 준비되지 않았습니까?

2012 년 말까지 도메인 등록 기관과 DNS 제공 업체 간의 DNSSEC 지원은 거의 보편적이라고 생각했습니다. 지원이 사실상 존재하지 않는 것 같습니다. 이것은 DNSSEC 채택에 심각한 문제가 있습니까? 아니면 뜨거운 주제가 아니며 더 이상 귀찮게하지 않습니까? DNSSEC Scoreboard 에 따르면 .com도메인의 약 0.1 %가 DNSSEC를 지원합니다. 레지스트라 및 DNS 제공 업체 간의 DNSSEC 지원 부족으로 인해 발생할 수 있습니까? 정보를 찾기가 너무 어렵거나 아무도 신경 쓰지 않습니까? 여기에는 "dnssec"태그가 없습니다.

요약

이 정보는 놀랍게도 찾기가 어렵습니다. 그렇기 때문에 직접 경험하고 개인적으로 추천하는 것이 좋습니다.

여기에 누군가가 실제로 도메인 등록에서 DNS 서버 구성에 이르기까지 실제로 DNSSEC로 완전히 보호되는 작동하는 웹 사이트를 보유 할 때까지 DNSSEC로 웹 사이트를 설정 했습니까?

DNSSEC를 SSL 인증서와 성공적으로 통합하여 브라우저에서 하나의 올바른 인증서 만 유효성 검사 할 수 있고 모든 불법 SSL 인증서 또는 규정되지 않은 이름의 인증서 가 거부되도록합니까?

누구든지 위에서 언급 한 등록 기관을 추천 할 수 있습니까?

위에서 언급하지 않은 레지스트라를 추천 할 수있는 사람이 있습니까?

좋은 경험이 있습니까? 나쁜 경험?

이 웹 사이트 : https://pointless.net/

dnssec이 서명되었으며 TLSA 레코드 ( RFC6698 )를 사용하여 SSL 인증서를 보호합니다 (또한 CA 의 일종 인 오픈 소스 트러스트 CA의 웹인 CA CERT에 의해 서명 됨 ).

내 이름 서버를 실행하고 Easydns를 레지스트라로 사용하지만 Easydns는 .net 영역에 DS 레코드를 넣는 것을 지원하지 않으므로 ISC를 사용합니다. Domain Lookaside Validation Service (DLV)를 신뢰 앵커로 사용합니다. 대부분의 DNSSEC 유효성 검사 해결 프로그램에서 또한 다른 도메인에 gkg.net 을 사용 하고 있으며 DNSSEC를 올바르게 지원합니다.

현재 TLSA 레코드의 유효성 검사를 기본적으로 지원하는 웹 브라우저는 없지만 파이어 폭스 의 TLSA 유효성 검사 애드온을 얻을 수는 있지만 일부 DNS 조회에서 중단됩니다.

이번 여름 EMFCamp Hackercamp 에서 DNSSEC 및 관련 문제에 대해 이야기 했으며, 노트와 링크 덤프는 EMFCamp 위키에 있습니다.

추신이 글을 읽고 DNSSEC와 TLSA가 시간 낭비라고 생각한다면 , 중국의 위대한 방화벽이 어떻게 누출되는지에 대한 이 백서 를 읽으십시오 .

요약 질문에 대답하려면 다음을 수행하십시오.

여기에 누군가가 실제로 도메인 등록에서 DNS 서버 구성에 이르기까지 실제로 DNSSEC로 완전히 보호되는 작동하는 웹 사이트를 보유 할 때까지 DNSSEC로 웹 사이트를 설정 했습니까?

예

누구나 DNSSEC를 SSL 인증서와 성공적으로 통합하여 브라우저와 모든 불량 SSL 인증서 또는 자격이없는 이름의 인증서로 하나의 올바른 인증서 만 검증 할 수 있습니다. 가 거부되도록합니까?

예

누구든지 위에서 언급 한 등록 기관을 추천 할 수 있습니까?

gkg.net

위에서 언급하지 않은 레지스트라를 추천 할 수있는 사람이 있습니까?

dlv.isc.org는 정확히 등록 기관은 아니지만 dnssec를 지원하지 않는 등록 기관에서 작업 할 수 있도록합니다.

좋은 경험이 있습니까? 나쁜 경험?

교훈:

• 당신은 당신이 당신의 자신의 DNS 서버를 실행하면 해야한다 DNSSEC 키 롤오버를 관리하기위한 몇 가지 소프트웨어를 사용, 내가 사용 zkt 서명자 .
• 당신은 같은 DNS 서버 소프트웨어를 신뢰할 수있는 서버와 검증 리졸버가 될 수 없습니다-광고와 플래그 충돌 .

업데이트 :

이것은 현재 플레이 상태의 좋은 여름입니다

2012 년 12 월 13 일 업데이트 :

나는 지금 gkg.net을 사용 하고 있습니다 모든 도메인에 을 있습니다. 나는 여전히 isc dlv 서비스를 사용하고 있지만 더 이상 필요하지 않습니다.

2014 년 9 월 15 일 업데이트

나는 gandi.net을 사용하고 있습니다

DNSSEC에 대한 개인적인 경험이 없으므로 실제로 권장 할 수는 없지만 ICANN 사이트의이 링크에는 DNSSEC에 대한 지원을보고 한 현재 등록 기관 목록이 표시됩니다.

http://www.icann.org/en/news/in-focus/dnssec/deployment