두 개의 공개 슬레이브 DNS 서버에 알리고 업데이트하는 숨겨진 마스터 DNS 이름 서버가 있습니다.
- Debian/Bind9 DNS를 실행하는 내 VPS
- 타사 보조 네임서버 제공업체(afraid.org)
마침내 숨겨진 마스터와 공개 슬레이브 서버(VPS)를 사용하여 DNSSEC를 작동하게 되었습니다.
이제 저는 DNSSEC도 지원할 수 있는 보조 네임서버 서비스 공급자를 찾기 위해 온갖 검색을 하고 있습니다. 하나도 찾을 수 없었습니다. 나는 이유를 이해할 수 없었다.
그러다가 이 단서를 봤어요GoDaddy 보조 네임서버 위키:
- "동일한 도메인 이름으로 DNSSEC와 보조 DNS를 모두 사용할 수 없습니다."
제3자가 DNSSEC를 통해 보조 이름 서버를 제공할 수 없는 이유는 무엇입니까?
답변1
언급한 바와 같이, 인용된 진술은 한 서비스 제공업체가 자체 서비스의 한계를 언급한 것이며, 이는 보편적인 진실이 아닙니다.
귀하가 요청한 작업을 수행하는 데 실제로 필요한 것은 다음과 같습니다.
AXFR슬레이브 네임서버는 일반 영역 전송( / ) 에서 발생하는 것과 같은 전체 영역 데이터(공개 키, 서명 등 모든 것을 포함)의 정확한 복사본을 가져오고IXFR데이터를 조작하지 않고 수신된 영역 데이터를 그대로 사용합니다.- 슬레이브 네임서버 소프트웨어DNSSEC를 지원합니다. 즉, EDNS0을 지원하고 헤더/EDNS0 필드의 DNSSEC 관련 플래그에 대해 조치를 취하는 방법을 알고 있습니다(예: DNSSEC를 요청하는 쿼리에 대한 응답으로 관련
RRSIG/ 반환).NSEC
질문에 언급된 서비스 제공업체가 이를 수행할 수 없는 이유에 대해서는 해당 서비스 제공업체에 직접 질문하여 적절한 답변을 얻으실 필요가 있습니다.
위의 요구 사항을 충족할 수 없는 일부 사용자 정의 또는 오래된 네임서버 소프트웨어를 사용하고 있는 것은 아닐까요? 어쩌면 순전히 기술적인 것도 아닌 일종의 정책 결정이 아닐까요?
DNS 호스팅에 더 중점을 두고 있는 서비스 제공업체를 살펴보면 위와 같은 요구 사항은 일반적으로 문제가 되지 않는다는 인상을 받습니다(애초에 슬레이브 이름 서버 옵션이 있는 경우).
답변2
그것은 보편적으로 맞는 진술이 아닙니다. 이는 아마도 자체적인 제한 사항이거나 보조 이름 서버가 레코드에 서명할 수 없다고 말하는 것일 수 있습니다. DNSSEC가 활성화되면 기본 이름 서버가 서명을 수행합니다. 따라서 이는 개인 서명 키를 보유해야 하는 유일한 권한 있는 이름 서버이기도 합니다. 그런 다음 보조 이름 서버는 AXFR 영역 전송을 사용하여 이미 서명된 영역을 전송할 수 있어야 합니다.
답변3
나는 사용하고있다클라우드DNSDNSSEC 서명 영역의 보조 DNS로 사용되며 문제 없이 작동합니다(단, 보조에는 유료 계정이 필요함).
freedns.42.pl무료 DNS 서버(기본 및 보조 모두)를 제공하며 내가 기억하는 한 보조 서버는 문제 없이 DNSSEC를 지원합니다.