Postfix
DNSSEC - 啟用 DANE DNS 記錄的 DNS/域提供商
我們公司在Gandi註冊了域名“example.eu”,它有一個“一鍵式解決方案”來為我們的域區域啟用 DNSSEC。所以我們啟用了它,一直等到dnsviz檢查工具向我們顯示我們的父區域 (.eu) 從 Gandi 獲得了散列 的公共 KSK,並且他們在他們的 DS 記錄中發布了它,現在驗證了我們的區域“example.eu”)。
我們還期待 Gandi 向我們發送私人 KSK,以便我們可以繼續信任鏈,但他們沒有發送任何東西。在他們的網站上也無法添加任何類型的 DNSSEC DNS 記錄,如 TLSA、DS…
所以看起來他們支持 DNSSEC 但不支持 DANE 身份驗證……可能他們會失去一些業務,因為 DANE 使用自簽名證書,並且會阻止像 Gandi 這樣的公司通過扮演 CA 的角色和銷售證書來賺錢. DANE 是使用自簽名證書的愚蠢 CA 機構系統的直接替代品!
那麼有誰知道更好的域名註冊商可以讓我們手動添加 DANE 記錄,如 DS、TLSA ……?
我們需要 TLSA 記錄支持才能使用 DANE 對 Postfix 電子郵件伺服器進行身份驗證,並且我們需要 DS 記錄支持來使用 DANE 對任何其他物理機器進行身份驗證,從而繼續建立信任鏈。
Gandi 通過其LiveDNS API支持 DANE
TLSA記錄和進一步的安全授權(DS記錄):記錄類型
之一:
A、AAAA、ALIAS(尚不支持啟用 dnssec 的域)、CAA、CDS、CNAME、DNAME、DS、KEY、LOC、MX、NS、OPENPGPKEY、PTR、SPF、SRV、SSHFP、TLSA、TXT、WKS