У меня есть скрытый главный сервер имен DNS, который уведомляет и обновляет два публичных подчиненных DNS-сервера:
- мой собственный VPS с DNS-сервером Debian/Bind9
- Поставщик стороннего вторичного сервера имен (afraid.org)
Мне наконец-то удалось заставить DNSSEC работать со скрытым главным сервером и моим публичным подчиненным сервером (VPS).
Теперь я ищу везде и всюду поставщика услуг вторичного сервера имен, который ТАКЖЕ может поддерживать DNSSEC. Я не смог найти ни одного. Я не мог понять, почему.
Затем я увидел эту подсказку наGoDaddy Вторичный сервер имен wiki:
- «Вы не можете использовать DNSSEC и вторичный DNS с одним и тем же доменным именем».
Почему третья сторона не может предоставить вторичный сервер имен с DNSSEC?
решение1
Как уже отмечалось, процитированное заявление является заявлением одного из поставщиков услуг, отмечающего ограничение в своем собственном обслуживании, это не универсальная истина.
Все, что действительно необходимо для того, чтобы то, о чем вы просите, сработало, это:
- Подчиненный сервер имен получает точную копию полных данных зоны (включая открытые ключи, подписи и все остальное), как это происходит при обычной передаче зоны (
AXFR/IXFR), и просто использует полученные данные зоны дословно, не внося никаких изменений в данные. - Программное обеспечение подчиненного сервера именподдерживает DNSSEC. То есть, поддерживает EDNS0, знает, что нужно действовать в соответствии с флагами, относящимися к DNSSEC, в полях заголовка/EDNS0 (например, возвращая соответствующие
RRSIG/NSECв ответах на запросы, запрашивающие DNSSEC).
Что касается того, почему поставщик услуг, упомянутый в вопросе, не может этого сделать, вам действительно нужно будет направить вопрос им, чтобы получить правильный ответ.
Может быть, они используют какое-то пользовательское или устаревшее программное обеспечение сервера имен, которое не может соответствовать вышеуказанным требованиям? Может быть, это какое-то политическое решение, которое даже не является чисто техническим?
Если взглянуть на поставщиков услуг, которые больше сосредоточены на хостинге DNS, то, по моему мнению, требования, подобные приведенным выше, обычно не являются проблемой (при условии, что у них изначально есть опция подчиненного сервера имен).
решение2
Это не универсально верное утверждение. Вероятно, это либо их собственное ограничение, либо попытка сказать, что вторичный сервер имен не может подписывать записи. Когда DNSSEC включен, первичный сервер имен выполняет подпись. Следовательно, это также единственный авторитетный сервер имен, которому необходимо хранить закрытый ключ подписи. Затем любые вторичные серверы имен должны иметь возможность передавать уже подписанную зону с помощью передачи зоны AXFR.
решение3
Я используюCloudDNSкак вторичный DNS для подписанных зон DNSSEC, и он работает без проблем (но для вторичных зон вам понадобится платная учетная запись).
freedns.42.plпредоставляет бесплатные DNS-серверы (как первичные, так и вторичные) и, насколько я помню, вторичные поддерживают DNSSEC без проблем.