Domain-Name-System

輔助域名伺服器 DNSSEC

  • August 26, 2018

我有這個隱藏的主 DNS 名稱伺服器通知和更新兩個公共從 DNS 伺服器:

  • 我自己的執行 Debian/Bind9 DNS 的 VPS
  • 第 3 方二級域名伺服器提供商 (afraid.org)

我終於讓 DNSSEC 與隱藏的主伺服器和我的公共從伺服器 (VPS) 一起工作。

現在,我正在尋找可以同時支持 DNSSEC 的二級域名伺服器服務提供商。我找不到一個。我不明白為什麼。

然後我在GoDaddy Secondary NameServer wiki上看到了這條線索:

  • “您不能同時使用具有相同域名的 DNSSEC 和輔助 DNS。”

為什麼第 3 方不能提供具有 DNSSEC 的輔助名稱伺服器?

如前所述,引用的聲明是一個服務提供商指出他們自己的服務存在限制,這不是一個普遍的事實。

完成你所要求的工作真正需要的是:

  • 從名稱伺服器獲取完整區域數據(包括公鑰、簽名、所有內容)的精確副本,例如正常區域傳輸 ( AXFR/ IXFR) 中發生的情況,並簡單地逐字使用接收到的區域數據,無需處理數據。
  • 從屬域名伺服器軟體支持 DNSSEC。即,支持 EDNS0,知道對標頭/EDNS0 欄位中的 DNSSEC 相關標誌採取行動(例如在響應請求 DNSSEC 的查詢時返回相關RRSIG/ )。NSEC

至於為什麼問題中提到的服務提供商不能這樣做,您確實需要將問題直接發送給他們以獲得正確的答案。

也許他們正在使用一些無法滿足上述要求的自定義或過時的域名伺服器軟體?也許這是某種甚至不是純粹技術性的政策決定?

如果您查看更關注 DNS 託管的服務提供商,我的印像是,上述要求通常不是問題(前提是他們首先具有從屬名稱伺服器選項)。

引用自:https://serverfault.com/questions/928005