我們公司註冊了網域名稱“example.eu”甘地它有一個「一鍵解決方案」來為我們的網域區域啟用 DNSSEC。所以我們啟用它,等到域名視覺化檢查工具顯示我們的父區域 (.eu) 獲得了散列的 公共KSK來自 Gandi,他們將其發佈在 DS 記錄中,現在可以驗證我們的區域“example.eu”)。
我們也期待 Gandi 向我們發送私人KSK這樣我們就可以繼續信任鏈,但他們沒有發送任何東西。在他們的網站上也不可能新增任何類型的 DNSSEC DNS 記錄,例如 TLSA、DS...
所以看起來他們支持 DNSSEC 但不支援 DANE 身份驗證...可能他們會失去一些業務,因為 DANE 與自簽名證書並會阻止像 Gandi 這樣的公司透過扮演 CA 的角色並出售證書來輕鬆賺錢。 DANE 是使用自簽名憑證的愚蠢 CA 權威系統的直接替代品!
那麼有誰知道有更好的網域註冊商可以讓我們手動新增 DANE 記錄,例如 DS、TLSA...?
我們需要 TLSA 記錄支援才能使用 DANE 驗證 Postfix 電子郵件伺服器,並且需要 DS 記錄支援才能使用 DANE 驗證任何其他實體計算機,從而延續信任鏈。
答案1
Gandi 支援 DANETLSA記錄並透過其進一步安全授權(DS記錄)即時 DNS API:
記錄類型
其中之一:
A、AAAA、ALIAS(啟用 dnssec 的域尚不支援)、CAA、CDS、CNAME、DNAME、DS、KEY、LOC、MX、NS、OPENPGPKEY、PTR、SPF、SRV、SSHFP、TLSA、TXT、WKS