Nuestra empresa registró el dominio "ejemplo.eu" conGandíque tiene una "solución de un clic" para habilitar las DNSSEC para la zona de nuestro dominio. Entonces lo habilitamos, esperamos hastadnsvizLa herramienta de inspección nos mostró que nuestra zona principal (.eu) obtuvo laTroceado KSK públicode Gandi y lo publicaron en su registro DS que ahora autentica nuestra zona "ejemplo.eu").
También esperábamos que Gandi nos enviara elKSK privadopara que podamos continuar la cadena de confianza pero no han enviado nada. En su sitio también es imposible agregar ningún tipo de registros DNS DNSSEC como TLSA, DS...
Entonces parece que admiten DNSSEC pero no admiten la autenticación DANE... Probablemente perderían algo de negocio porque DANE trabaja concertificados autofirmadose impediría que empresas como Gandi ganaran dinero fácil desempeñando el papel de CA y vendiendo certificados. ¡DANE es un reemplazo directo del sistema de estúpidas autoridades de CA que funciona con certificados autofirmados!
Entonces, ¿alguien conoce un mejor registrador de dominios que nos ofrezca la posibilidad de agregar manualmente registros DANE como DS, TLSA...?
Necesitamos soporte de registros TLSA para autenticar el servidor de correo electrónico Postfix usando DANE y necesitamos soporte de registros DS para autenticar cualquier otra máquina física usando DANE y, por lo tanto, continuar una cadena de confianza.
Respuesta1
Gandi admite registros del DANE y una delegación ( registros) TLSAmás segura a través de suDSAPI LiveDNS:
Tipo de registro
Uno de :
A, AAAA, ALIAS (aún no compatible con dominios habilitados para dnssec), CAA, CDS, CNAME, DNAME, DS, KEY, LOC, MX, NS, OPENPGPKEY, PTR, SPF, SRV, SSHFP, TLSA, TXT, WKS