无法设置 DNSSEC,信任链断裂

tag-icon tag-icon domain-name-system dnssec
无法设置 DNSSEC,信任链断裂

我正在尝试在我拥有的域上设置 DNSSEC,但遇到了问题。使用以下站点检查配置时,我收到错误:

http://dnscheck.pingdom.com/troubleshooting.php?domain=dontgetlemon.eu

Broken chain of trust for dontgetlemon.eu - DNSKEY found at child, but no DS was found at parent.

The child seems to use DNSSEC, but the parent has no secure delegation. Because of this, the chain of trust between the parent and the child is broken and validating resolvers will not be able to validate answers from the child.

我不太清楚在这里该做什么,也没有太多设置经验。

现在,让我稍微解释一下这个设置:

  • 该域名的注册商是 cloudns.net
  • 我正在使用 cloudflare 作为域名
  • 我的注册商面板中有 cloudflare NS
  • 我在注册商面板中为 DS 和 DNSKEY 设置添加了 TXT 记录。我的注册商没有 DNSKEY/DS/NSEC

我的 TXT 记录如下: 在此处输入图片描述

我还使用以下工具检查了我的设置: http://dnsviz.net/d/dontgetlemon.eu/dnssec/ http://dnssec-debugger.verisignlabs.com/dontgetlemon.eu

答案1

一般来说,DNSSEC不能单独在你的区域上设置dontgetlemon.eu,但它也必须添加到父.eu区域。正如Verisign Labs DNSSEC调试器所解释的那样:

在欧盟区域未找到 dontgetlemon.eu 的 DS 记录。

父区域数据应包括子区域的 DS 记录。为了补救,区域的签名者dontgetlemon.eu应将当前DS记录发送给eu

必须通过您的注册商启用 DNSSEC。他们要求使用自己的密钥对.eu您的域名进行签名DS,从而使信任链完全的。

您声明 ClouDNS 是您的注册商,但 ClouDNS 似乎不支持 DNSSEC掌握IE基本的区域。如果您将它们用作注册商或 DNS 提供商,则这可能会出现问题。

问:您支持 DNSSEC 吗?

答:是的,我们支持从属/备份/辅助 DNS 区域。

然而,正如 whoisdb 所说,您的注册机构实际上是公共领域注册机构。

Registrar:
        Name: PDR Ltd.
        Website: http://www.publicdomainregistry.com

看来他们确实得到了支持,但目前指示不可用(HSTS 和无效 CN)。

相关内容