Tengo este servidor de nombres DNS maestro oculto que notifica y actualiza los dos servidores DNS esclavos públicos:
- mi propio VPS ejecutando Debian/Bind9 DNS
- Proveedor de servidor de nombres secundario externo (afraid.org)
Finalmente conseguí que DNSSEC funcionara con el maestro oculto y mi servidor esclavo público (VPS).
Ahora estoy buscando por todas partes un proveedor de servicios de servidor de nombres secundario que TAMBIÉN pueda admitir DNSSEC. No pude encontrar uno. No podía entender por qué.
Entonces vi esta pista enWiki del servidor de nombres secundario de GoDaddy:
- "No se pueden utilizar DNSSEC y DNS secundario con el mismo nombre de dominio".
¿Por qué un tercero no puede proporcionar un servidor de nombres secundario con DNSSEC?
Respuesta1
Como se ha señalado, la declaración citada es la de un proveedor de servicios que señala una limitación en su propio servicio; no es una verdad universal.
Todo lo que realmente se necesita para que lo que pides funcione es esto:
- El servidor de nombres esclavo obtiene una copia exacta de los datos de la zona completa (incluidas las claves públicas, las firmas, todo), como lo que sucede con una transferencia de zona normal (
AXFR/IXFR), y simplemente utiliza los datos de la zona recibidos palabra por palabra, sin perder el tiempo con los datos. - Software de servidor de nombres esclavosoporta DNSSEC. Es decir, admite EDNS0, sabe actuar sobre los indicadores relevantes para DNSSEC en los campos de encabezado/EDNS0 (como devolver
RRSIG/ relevanteNSECen respuestas a consultas que solicitan DNSSEC).
En cuanto a por qué el proveedor de servicios al que se hace referencia en la pregunta no puede hacer esto, realmente deberá dirigirle la pregunta para obtener una respuesta adecuada.
¿Quizás estén utilizando algún software de servidor de nombres personalizado u obsoleto que no puede cumplir con los requisitos anteriores? ¿Quizás se trata de algún tipo de decisión política que ni siquiera es puramente técnica?
Si nos fijamos en los proveedores de servicios que se centran más en el alojamiento DNS, mi impresión es que requisitos como los anteriores no suelen ser un problema (siempre que tengan una opción de servidor de nombres esclavo en primer lugar).
Respuesta2
Esa no es una afirmación universalmente cierta. Probablemente sea su propia limitación o intente decir que el servidor de nombres secundario no puede firmar los registros. Cuando DNSSEC está habilitado, el servidor de nombres principal realiza la firma. Por lo tanto, también es el único servidor de nombres autorizado que necesita conservar la clave de firma privada. Luego, cualquier servidor de nombres secundario debería poder transferir la zona ya firmada mediante la transferencia de zona AXFR.
Respuesta3
estoy usandoNubeDNScomo DNS secundario para zonas firmadas DNSSEC y funciona sin problemas (pero necesitas una cuenta paga para los secundarios).
freedns.42.plproporciona servidores DNS gratuitos (tanto primarios como secundarios) y, hasta donde recuerdo, los secundarios admiten DNSSEC sin problemas.