Eu tenho este servidor de nomes DNS mestre oculto notificando e atualizando os dois servidores DNS escravos públicos:
- meu próprio VPS rodando DNS Debian/Bind9
- Provedor de servidor de nomes secundário terceirizado (afraid.org)
Finalmente consegui que o DNSSEC funcionasse com o mestre oculto e meu servidor escravo público (VPS).
Agora estou procurando por um provedor de serviços de servidor de nomes secundário que TAMBÉM possa oferecer suporte a DNSSEC. Não consegui encontrar um. Eu não conseguia entender o porquê.
Então eu vi essa pistaWiki do servidor de nomes secundário GoDaddy:
- "Você não pode usar DNSSEC e DNS secundário com o mesmo nome de domínio."
Por que terceiros não podem fornecer um servidor de nomes secundário com DNSSEC?
Responder1
Como foi observado, a declaração citada é de um provedor de serviços observando uma limitação em seu próprio serviço, não é uma verdade universal.
Tudo o que é realmente necessário para fazer com que o que você pede funcione é o seguinte:
- O servidor de nomes escravo obtém uma cópia exata dos dados completos da zona (incluindo chaves públicas, assinaturas, tudo), como o que acontece com uma transferência de zona normal (
AXFR/IXFR), e simplesmente usa os dados da zona recebidos literalmente, sem mexer nos dados. - Software de servidor de nomes escravosuporta DNSSEC. Ou seja, suporta EDNS0, sabe atuar nos sinalizadores relevantes para DNSSEC nos campos de cabeçalho/EDNS0 (como retornar relevantes
RRSIG/NSECem respostas a consultas que solicitam DNSSEC).
Quanto ao motivo pelo qual o provedor de serviços mencionado na pergunta não pode fazer isso, você realmente precisará encaminhar a pergunta a ele para obter uma resposta adequada.
Talvez eles estejam usando algum software de servidor de nomes personalizado ou desatualizado que não atenda aos requisitos acima? Talvez seja algum tipo de decisão política que nem sequer é puramente técnica?
Se você observar os provedores de serviços que se concentram mais na hospedagem DNS, minha impressão é que requisitos como os acima geralmente não são um problema (desde que tenham uma opção de servidor de nomes escravo em primeiro lugar).
Responder2
Essa não é uma afirmação universalmente verdadeira. Provavelmente é uma limitação própria ou tenta dizer que o servidor de nomes secundário não pode assinar os registros. Quando o DNSSEC está ativado, o servidor de nomes primário faz a assinatura. Portanto, é também o único servidor de nomes autoritativo que precisa manter a chave de assinatura privada. Então, qualquer servidor de nomes secundário deverá ser capaz de transferir a zona já assinada usando a transferência de zona AXFR.
Responder3
estou usandoCloudDNScomo DNS secundário para zonas assinadas DNSSEC e funciona sem problemas (mas você precisa de uma conta paga para secundárias).
freedns.42.plfornece servidores DNS gratuitos (primários e secundários) e, pelo que me lembro, os secundários suportam DNSSEC sem problemas.