在运行 DNSSEC 的域中,是否可以从 DNSSEC 中排除单个记录?例如,是否可以mail.example.com运行 DNSSEC,但www.example.com不运行 DNSSEC?询问的原因是,我们有一个网站托管提供商,由于我们的区域的 DNS 上运行着 DNSSEC,因此在为网站设置 SSL/TLS 时遇到了问题?
我在 Bind 文档中没有看到执行此操作的方法,但是还有其他方法吗?
答案1
理论上,这可以通过为给定名称创建未签名的子区域来实现,但是不要这样做更好的方法是更换网站托管提供商,因为你的提供商不称职。如果 DNSSEC 破坏了他们的 SSL/TLS 设置,他们会对 DNS 施展一些丑陋的魔法,而这在你的区域中是绝对不想要的。