DNSSEC 验证失败

DNSSEC 验证失败

我的提供商已转移域名salonasruna.com,但它看起来无法正常工作。

https://dnssec-analyzer.verisignlabs.com/salonasruna.com显示状态。

该如何解决该问题以及由此引发的后续问题?

  1. 我无法生成 Let's Encrypt 证书。

  2. 我也遇到了域名传播问题。大约 80 小时过去了,传播状态如下:

    传播图

答案1

VeriSign 的报告DNSSEC 调试器很清楚:DNSSEC已启用并且父区域.com具有DS记录,但该区域salonasruna.com未经过DNSSEC签名(未找到DNSKEY/ RRSIGs)。

DNSSEC 调试器 salonasruna.com

DNSViz显示相同但可能更容易理解。

在此处输入图片描述

  • comsalonasruna.com:未找到覆盖 RRset 的由与 RR相对RRSIG应的密钥生成的有效 s ,导致没有进入区域的安全入口点 (SEP)。(,,,,)DSDNSKEY91.227.122.5091.227.123.50UDP_-_EDNS0_4096_D_KNUDP_-_EDNS0_512_D_KN
  • comsalonasruna.com:该区域的 DS RRset 包含算法13( ECDSAP256SHA256),但是没有与签署该区域的 RRset 的算法DS相匹配的 RR 。( , , , )DNSKEY13DNSKEY91.227.122.5091.227.123.50UDP_-_EDNS0_4096_D_KNUDP_-_EDNS0_512_D_KN

此时你应该禁用 DNSSEC 以使 DNS 重新工作。然后,您可以在新的提供商处签署区域,并将相应的DS记录添加到父区域.com

还,DNS 不传播但被缓存. DNSSEC 感知解析器不会缓存未通过验证的记录,无论您等待“传播”多长时间。

相关内容