우리 회사는 "example.eu"라는 도메인을 등록했습니다.간디도메인 영역에 대해 DNSSEC를 활성화하는 "원클릭 솔루션"이 있습니다. 그래서 우리는 그것을 활성화하고dnsviz검사 도구에 따르면 상위 영역(.eu)이해시된 공개 KSKGandi에서 왔으며 이제 우리 영역 "example.eu"를 인증하는 DS 레코드에 게시했습니다.
우리는 또한 Gandi가 우리에게개인 KSK우리가 신뢰의 사슬을 계속 이어갈 수 있도록 그들은 아무 것도 보내지 않았습니다. 해당 사이트에서는 TLSA, DS와 같은 모든 종류의 DNSSEC DNS 레코드를 추가하는 것도 불가능합니다.
그래서 그들은 DNSSEC를 지원하지만 DANE 인증을 지원하지 않는 것 같습니다... 아마도 DANE이자체 서명된 인증서그리고 Gandi와 같은 회사가 CA 역할을 하고 인증서를 판매하여 쉽게 돈을 버는 것을 방지할 것입니다. DANE은 자체 서명된 인증서로 작동하는 어리석은 CA 기관 시스템을 직접 대체합니다!
그렇다면 DS, TLSA...와 같은 DANE 레코드를 수동으로 추가할 수 있는 기능을 제공하는 더 나은 도메인 등록 기관을 아는 사람이 있습니까?
DANE을 사용하여 Postfix 이메일 서버를 인증하려면 TLSA 레코드 지원이 필요하고, DANE을 사용하여 다른 물리적 시스템을 인증하여 신뢰 체인을 지속하려면 DS 레코드 지원이 필요합니다.
답변1
Gandi는 다음을 통해 DANE TLSA기록 및 추가 보안 위임( 기록)을 지원합니다.DS라이브DNS API:
레코드 유형
다음 중 하나:
A, AAAA, ALIAS(dnssec 지원 도메인에서는 아직 지원되지 않음), CAA, CDS, CNAME, DNAME, DS, KEY, LOC, MX, NS, OPENPGPKEY, PTR, SPF, SRV, SSHFP, TLSA, TXT, WKS