Наша компания зарегистрировала домен "example.eu" сГандикоторый имеет "решение в один клик" для включения DNSSEC для зоны нашего домена. Поэтому мы включили его, подождали, покаdnsvizИнструмент проверки показал нам, что наша родительская зона (.eu) получилахэшированный публичный КСКот Ганди, и они опубликовали это в своей записи DS, которая теперь подтверждает подлинность нашей зоны "example.eu").
Мы также ожидали, что Ганди пришлет намчастный КСКчтобы мы могли продолжить цепочку доверия, но они ничего не отправили. На их сайте также невозможно добавить какие-либо записи DNSSEC DNS, такие как TLSA, DS...
Похоже, они поддерживают DNSSEC, но не поддерживают аутентификацию DANE... Вероятно, они потеряют часть бизнеса, поскольку DANE работает ссамоподписанные сертификатыи не позволит компаниям вроде Gandi зарабатывать легкие деньги, играя роль CA и продавая сертификаты. DANE — это прямая замена системе глупых CA, которая работает с самоподписанными сертификатами!
Кто-нибудь знает лучшего регистратора доменов, который бы предоставил нам возможность вручную добавлять записи DANE, такие как DS, TLSA...?
Нам нужна поддержка записей TLSA для аутентификации почтового сервера Postfix с использованием DANE, а также нам нужна поддержка записей DS для аутентификации любой другой физической машины с использованием DANE и, следовательно, продолжения цепочки доверия.
решение1
Gandi поддерживает TLSAзаписи DANE и дальнейшее безопасное делегирование ( DSзаписи) через ихAPI LiveDNS:
Тип записи
Один из :
A, AAAA, ALIAS (еще не поддерживается для доменов с поддержкой DNSEC), CAA, CDS, CNAME, DNAME, DS, KEY, LOC, MX, NS, OPENPGPKEY, PTR, SPF, SRV, SSHFP, TLSA, TXT, WKS