我们公司注册了域名“example.eu”甘地它有一个“一键解决方案”,可以为我们的域区域启用 DNSSEC。所以我们启用了它,等到德斯维兹检查工具显示我们的父区域 (.eu) 得到了哈希 公共 KSK来自 Gandi,他们将其发布在他们的 DS 记录中,现在可以验证我们的区域“example.eu”)。
我们也期待 Gandi 能给我们发送私人 KSK这样我们就可以继续信任链,但他们没有发送任何东西。在他们的网站上也不可能添加任何类型的 DNSSEC DNS 记录,如 TLSA、DS...
因此看起来他们支持 DNSSEC,但不支持 DANE 身份验证......他们可能会失去一些业务,因为 DANE 与自签名证书并阻止 Gandi 等公司通过扮演 CA 角色和销售证书来轻松赚钱。DANE 直接替代了使用自签名证书的愚蠢 CA 机构系统!
那么,是否有人知道更好的域名注册商,可以让我们手动添加 DANE 记录,如 DS、TLSA……?
我们需要 TLSA 记录支持才能使用 DANE 验证 Postfix 电子邮件服务器,并且我们需要 DS 记录支持才能使用 DANE 验证任何其他物理机器,从而继续信任链。
答案1
Gandi 支持 DANETLSA记录,并通过其进一步保护委托(DS记录)LiveDNS API:
記錄類型
以下之一:
A、AAAA、ALIAS(尚不支持启用 dnssec 的域)、CAA、CDS、CNAME、DNAME、DS、KEY、LOC、MX、NS、OPENPGPKEY、PTR、SPF、SRV、SSHFP、TLSA、TXT、WKS