我似乎无法使用 Google 的公共 DNS 8.8.8.8 访问我的网站:yippie.nl。其他 DNS 工作正常。
这可能是由于 DNSKEY 造成的吗?因为 Route53 没有提供它。
http://dnscheck.pingdom.com/?domain=yippie.nl显示:
yippie.nl 的安全性不一致 — 在父级处找到 DS,但在子级处未找到 DNSKEY。
父节点对子节点具有安全委派(由父节点的 DS RRset 指示),但子节点没有 DNSKEY。这可能是由于之前已签名的区域未请求父节点删除安全委派就变为未签名区域。
这是我唯一能找到的东西。
当我挖掘 +trace +add yippie.nl 时,我确实得到了完整的东西:结束:
yippie.nl. 300 IN A 94.75.224.2
知道可能是什么问题吗?
非常感谢!
答案1
您的域名有DS记录(在其父区域):
dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl. 7181 IN DS 47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1
,还没有DNSKEY记录:
dig yippie.nl DNSKEY
(no answer section)
并且,它未使用 DNSSEC 签名(没有 RRSIG 记录)。
Google 公共 DNS 检查 DNSSEC,由于您的域名声称具有 DNSSEC(DS 记录),但实际上并未签名,因此任何支持 DNSSEC 的解析器都会认为它是假的。当今大多数 DNS 解析器仍然忽略 DNSSEC,但 Google 是已经开始检查 DNSSEC 的解析器之一。
Verisign 提供了非常方便的DNSSEC 检查工具
要解决这个问题,
去除
DS从父区域记录您的域名。使用以下方式正确签名区域
DNSKEY对应于DS记录您已经拥有。(Amazon Route 53不支持 DNSSEC因此您必须自己托管该区域,或者使用其他提供商。)无论如何,只有您拥有与现有 DS 相对应的密钥才能执行此操作。使用新的 DNSKEY 对区域进行签名,并将当前的 DS 记录替换为您使用的 DNKSEY 对应的记录。请参阅我的视频指南在这里(指的是我所属的专有服务。