我有這個隱藏的主 DNS 名稱伺服器通知並更新兩個公共從 DNS 伺服器:
- 我自己的 VPS 運行 Debian/Bind9 DNS
- 第 3 方輔助網域伺服器供應商 (afraid.org)
我終於讓 DNSSEC 與隱藏的主伺服器和我的公共從伺服器 (VPS) 一起工作。
現在,我正在四處尋找也可以支援 DNSSEC 的二級網域伺服器服務提供者。我找不到一個。我不明白為什麼。
然後我看到了這個線索GoDaddy 輔助名稱伺服器 wiki:
- “您不能同時使用具有相同網域的 DNSSEC 和輔助 DNS。”
為什麼第三方不能提供帶有 DNSSEC 的輔助名稱伺服器?
答案1
正如已經指出的,所引用的聲明是一家服務提供者指出其自身服務的局限性,這並不是普遍真理。
完成您所要求的工作真正需要的是:
- 從屬名稱伺服器取得完整區域資料(包括公鑰、簽章等所有內容)的精確副本,例如正常區域傳輸 (
AXFR/IXFR) 所發生的情況,並且僅逐字使用接收到的區域數據,而不會對資料進行任何處理。 - 從屬名稱伺服器軟體支援DNSSEC。即,支援 EDNS0,知道對標頭/EDNS0 欄位中的 DNSSEC 相關標誌進行操作(例如傳回相關
RRSIG/NSEC回應請求 DNSSEC 的查詢)。
至於為什麼問題中提到的服務提供者不能做到這一點,您確實需要將問題直接交給他們才能得到正確的答案。
也許他們正在使用一些無法滿足上述要求的自訂或過時的名稱伺服器軟體?也許這是某種甚至不純粹是技術性的政策決定?
如果您看看更關注 DNS 託管的服務提供者,我的印像是,上述要求通常不是問題(前提是他們首先有從屬名稱伺服器選項)。
答案2
這並不是一個普遍正確的說法。這可能是他們自己的限制,或者試圖說輔助名稱伺服器無法對記錄進行簽署。啟用 DNSSEC 後,主名稱伺服器將進行簽署。因此,它也是唯一需要保存私有簽章金鑰的權威名稱伺服器。然後,任何輔助名稱伺服器都應該能夠使用 AXFR 區域傳輸來傳輸已簽署的區域。
答案3
我在用雲端DNS作為 DNSSEC 簽章區域的輔助 DNS,它可以正常運作(但輔助 DNS 需要付費帳戶)。
freedns.42.pl提供免費的 DNS 伺服器(主要和輔助),據我記得輔助伺服器支援 DNSSEC 沒有問題。