当社は、ドメイン「example.eu」をガンディこれには、ドメインのゾーンでDNSSECを有効にする「ワンクリックソリューション」があります。そこで、これを有効にして、dnsviz検査ツールによると、親ゾーン(.eu)はハッシュ化された パブリックKSKGandi から取得し、DS レコードに公開しました。これで、ゾーン「example.eu」が認証されます。
ガンディから送られてくるのを期待していたのですが、プライベートKSK信頼チェーンを継続できるようにしましたが、何も送信されませんでした。彼らのサイトでは、TLSA、DS などのあらゆる種類の DNSSEC DNS レコードを追加することもできません...
つまり、DNSSECはサポートしているが、DANE認証はサポートしていないようです...DANEは自己署名証明書そして、Gandi のような企業が CA の役割を果たして証明書を販売することで簡単に金儲けするのを防ぎます。DANE は、自己署名証明書で動作する愚かな CA 機関のシステムに直接代わるものです。
それで、DS、TLSA などの DANE レコードを手動で追加する機能を提供する、より優れたドメイン レジストラを知っている人はいますか?
DANE を使用して Postfix 電子メール サーバーを認証するには TLSA レコードのサポートが必要であり、DANE を使用して他の物理マシンを認証し、信頼チェーンを継続するには DS レコードのサポートが必要です。
答え1
GandiはDANETLSAレコードをサポートし、さらに安全な委任(DSレコード)をライブDNSAPI:
レコードタイプ
の一つ :
A、AAAA、ALIAS(dnssec 対応ドメインではまだサポートされていません)、CAA、CDS、CNAME、DNAME、DS、KEY、LOC、MX、NS、OPENPGPKEY、PTR、SPF、SRV、SSHFP、TLSA、TXT、WKS