我有这个隐藏的主 DNS 名称服务器来通知和更新两个公共从属 DNS 服务器:
- 我自己的 VPS 运行 Debian/Bind9 DNS
- 第三方二级名称服务器提供商(afraid.org)
我最终让 DNSSEC 与隐藏主服务器和我的公共从属服务器(VPS)协同工作。
现在我到处寻找可以同时支持 DNSSEC 的二级名称服务器服务提供商。但我没找到。我不明白为什么。
然后我看到了这个线索GoDaddy 二级域名服务器 wiki:
- “您不能对同一个域名同时使用 DNSSEC 和辅助 DNS。”
为什么第三方不能提供带有 DNSSEC 的辅助名称服务器?
答案1
正如已经指出的,引用的声明是一家服务提供商指出其自身服务的局限性,这并不是普遍事实。
要使你的要求发挥作用,真正需要做的就是:
- 从属名称服务器获得完整区域数据(包括公钥、签名、所有内容)的精确副本,例如正常区域传输(
AXFR/IXFR)中发生的情况,并且只是逐字使用接收到的区域数据,而不会对数据进行任何处理。 - 从属名称服务器软件支持DNSSEC。即,支持 EDNS0,知道对标头/EDNS0 字段中的 DNSSEC 相关标志采取行动(例如,在响应请求 DNSSEC 的查询时返回相关
RRSIG/ )。NSEC
至于问题中提到的服务提供商为什么不能做到这一点,您确实需要直接向他们提出问题才能得到正确的答案。
也许他们正在使用一些无法满足上述要求的自定义或过时的名称服务器软件?也许是某种甚至不是纯技术性的政策决定?
如果您查看更关注 DNS 托管的服务提供商,我的印象是上述要求通常不成问题(前提是他们首先有一个从属名称服务器选项)。
答案2
这不是普遍适用的说法。这可能是他们自己的限制,也可能是试图说明辅助名称服务器无法签署记录。启用 DNSSEC 后,主名称服务器将进行签名。因此,它也是唯一需要持有私有签名密钥的权威名称服务器。然后,任何辅助名称服务器都应该能够使用 AXFR 区域传输来传输已签名的区域。
答案3
我在用云域名作为 DNSSEC 签名区域的辅助 DNS,它可以毫无问题地运行(但您需要付费的辅助帐户)。
freedns.42.pl提供免费的 DNS 服务器(主服务器和辅助服务器),据我记得,辅助服务器可以毫无问题地支持 DNSSEC。