Nossa empresa registrou o domínio "example.eu" comGandique possui uma "solução de um clique" para habilitar o DNSSEC para a zona do nosso domínio. Então nós habilitamos, esperamos atédnsvizferramenta de inspeção nos mostrou que nossa zona pai (.eu) obteve ohash KSK públicode Gandi e eles publicaram em seu registro DS que agora autentica nossa zona "example.eu").
Também esperávamos que Gandi nos enviasse oKSK privadopara que pudéssemos continuar a cadeia de confiança, mas eles não enviaram nada. No site deles também é impossível adicionar qualquer tipo de registro DNS DNSSEC como TLSA, DS...
Parece que eles suportam DNSSEC, mas não suportam autenticação DANE... Provavelmente eles perderiam alguns negócios porque DANE trabalha comcertificados autoassinadose impediria que empresas como a Gandi ganhassem dinheiro fácil desempenhando o papel de CA e vendendo certificados. DANE é um substituto direto para o sistema de autoridades estúpidas de CA que funciona com certificados autoassinados!
Alguém conhece um registrador de domínio melhor que nos ofereça a capacidade de adicionar manualmente registros DANE como DS, TLSA...?
Precisamos de suporte a registros TLSA para autenticar o servidor de e-mail Postfix usando DANE e precisamos de suporte a registros DS para autenticar qualquer outra máquina física usando DANE e, portanto, continuar uma cadeia de confiança.
Responder1
Gandi apoia registros DANE e delegações ( registros) TLSAmais seguras por meio de seusDSAPI LiveDNS:
Tipo de registro
Um de :
A, AAAA, ALIAS (ainda não compatível com domínios habilitados para dnssec), CAA, CDS, CNAME, DNAME, DS, KEY, LOC, MX, NS, OPENPGPKEY, PTR, SPF, SRV, SSHFP, TLSA, TXT, WKS