我似乎无法访问我的网站:yippie.nl,使用Google的公共DNS 8.8.8.8。 其他DNS的工作正常。
这可能是由于DNSKEY? 原因Route53不提供它。
http://dnscheck.pingdom.com/?domain=yippie.nl显示:
yippie.nl的安全性不一致 – DS在父母身上发现,但在孩子身上找不到DNSKEY。
- Azure公共/私人DNSparsing
- 使用DNSSECpipe理多个平等区域
- DNS和PING失败 – Windows 2003 DNS和SonicWall NSA240
- 使用不同的隧道时可能有DHCP分发不同的DNS服务器地址?
- 我应该在哪里安装DHCP服务器
父母对孩子有一个安全的授权(由家长的DS RRset表示),但孩子没有DNSKEY。 这可能是由于先前签名的区域未经请求父母移除安全委派而成为未签名的区域。
这是我能find的唯一的东西。
当我挖掘+追踪+添加yippie.nl我得到完整的东西:完:
yippie.nl. 300 IN A 94.75.224.2 任何想法可能是什么问题?
非常感谢!
您的域名有DSlogging(在其父区域):
dig yippie.nl DS ;; ANSWER SECTION: yippie.nl. 7181 IN DS 47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1
,并没有DNSKEYlogging:
dig yippie.nl DNSKEY (no answer section)
而且,它没有使用DNSSEC签名(没有RRSIGlogging)。
Google公开DNS检查DNSSEC,由于您的域声称拥有DNSSEC(DSlogging),但实际上没有签名,所以任何支持DNSSEC的parsing程序都认为它是伪造的。 今天大多数DNSparsing器仍然忽略DNSSEC,但是Google已经开始检查DNSSEC了。
Verisign提供了非常方便的DNSSEC检查工具
要解决这个问题,要么
从父区域中删除您的域的DSlogging。
使用与您已拥有的DSlogging相对应的DNSKEY正确签名区域。 (Amazon Route 53 不支持DNSSEC,因此您必须自行托pipe区域,或者使用其他提供商)。无论如何,只有拥有与现有DS相对应的密钥,才能执行此操作。
使用新的DNSKEY签名区域,并将DS DSloggingreplace为您使用的DNKSEY对应的DSlogging。 请参阅我的video指南 ( 指的是我所附属的专有服务 )。