Dnssec

使用 DNSSEC 備份,因為註冊商無法注入 DS 記錄

  • April 26, 2015

我愛我的註冊商(我不會說出他的名字);但他們目前只能簽署和發布我的 KSKDS記錄,.com並且.net只能通過電子郵件簽署到“support@mumble.registrar”(無 API)。雖然我不使用任何“異國情調”的 TLD,但缺乏對 TLD 的支持.org是很麻煩的。

在這個較晚的日期(2015 年 4 月),是否適合對我的.org域使用 ISC 的備份資訊?

有人還在使用旁觀者嗎?還是每個人實際上都應該使用後視鏡?

我對註冊商的忠誠是否被誤導了?還是我應該簡單地將我的域名轉移給技術更好的人?

部分問題顯然是基於意見的,但此時我將嘗試解決依賴DNSSEC 備份 ( DLV)的細節。

首先,在幾個主要的驗證解析器軟體實現中實現了備份支持,但不是全部。即使軟體實現了備份支持,它通常也不會預設啟用(可能是因為它的使用並非完全沒有爭議——不是“真正的標準”、可信密鑰的中央儲存庫等)。 如今,隨著根以及大多數 TLD 已簽署(並希望允許創建已簽署的委託),我認為假設在新部署中採用備份可能會下降很多並不牽強,除非在以下情況下系統所有者自己依靠備份來滿足自己的需求。

作為一些流行的驗證解析器伺服器的幾個例子,Google的公共解析器不使用備份,康卡斯特的.

總的來說,備份似乎總比沒有好,因為它仍然有潛在的用處,即使它的用處似乎正在下降。

如果可能(即,如果您知道您的大多數客戶端將使用哪個解析器伺服器),您可能需要進行一些測試,以確定依賴 DNSSEC 備份功能對您來說有多大用處。查詢驗證解析器伺服器例如nsec3.dlvtest.dns-oarc.net(並觀察AD響應中的標誌)將是一個好的開始。

一些可能有用的讀物(雖然已經有幾年了):

引用自:https://serverfault.com/questions/685563