Dnssec
使用 DNSSEC 備份,因為註冊商無法注入 DS 記錄
我愛我的註冊商(我不會說出他的名字);但他們目前只能簽署和發布我的 KSK
DS
記錄,.com
並且.net
只能通過電子郵件簽署到“support@mumble.registrar”(無 API)。雖然我不使用任何“異國情調”的 TLD,但缺乏對 TLD 的支持.org
是很麻煩的。在這個較晚的日期(2015 年 4 月),是否適合對我的
.org
域使用 ISC 的備份資訊?有人還在使用旁觀者嗎?還是每個人實際上都應該使用後視鏡?
我對註冊商的忠誠是否被誤導了?還是我應該簡單地將我的域名轉移給技術更好的人?
部分問題顯然是基於意見的,但此時我將嘗試解決依賴DNSSEC 備份 (
DLV
)的細節。首先,在幾個主要的驗證解析器軟體實現中實現了備份支持,但不是全部。即使軟體實現了備份支持,它通常也不會預設啟用(可能是因為它的使用並非完全沒有爭議——不是“真正的標準”、可信密鑰的中央儲存庫等)。 如今,隨著根以及大多數 TLD 已簽署(並希望允許創建已簽署的委託),我認為假設在新部署中採用備份可能會下降很多並不牽強,除非在以下情況下系統所有者自己依靠備份來滿足自己的需求。
作為一些流行的驗證解析器伺服器的幾個例子,Google的公共解析器不使用備份,康卡斯特的.
總的來說,備份似乎總比沒有好,因為它仍然有潛在的用處,即使它的用處似乎正在下降。
如果可能(即,如果您知道您的大多數客戶端將使用哪個解析器伺服器),您可能需要進行一些測試,以確定依賴 DNSSEC 備份功能對您來說有多大用處。查詢驗證解析器伺服器例如
nsec3.dlvtest.dns-oarc.net
(並觀察AD
響應中的標誌)將是一個好的開始。一些可能有用的讀物(雖然已經有幾年了):