在SMTP的其中一个RFC中,它显示了如何使用TLSA确保MX条目映射到IP地址,并且还包含散列或其他方式来提供validation证书的方法。 这是否正确,能否提供一种方法来validation在TLS忽略期间由SMTP服务器为域所提供的证书将是域所有者已经签名并放置在DNS / DNSSEClogging中的证书?
我为DNSSEC设置了我的(权威的)BIND域名服务器,并为我目前唯一的区域安装了一个ZSK。 为了testing是否可以将多个ZSK用于单个区域,我生成了一个新的密钥对,并将其复制到与第一个密钥对相同的文件夹中。 重新加载后,服务器find了新的ZSK密钥对,并用两个ZSK对该区域进行了签名。 现在我注意到我并不需要同时使用两个ZSK,并且认为我可以像添加它一样删除新的ZSK,并删除configuration目录中的相应文件。 不幸的是,这并没有从系统中删除较新的ZSK,并且在重新加载之后,名称服务器缺less这些文件,并且仍然通过DNS上的两个ZSK进行响应。 现在我的问题是,如何删除BIND对第二个ZSK的知识并返回到使用单个ZSK进行签名?
我正在尝试使用bind> = 9.9选项inline-sgning来实现DNSSEC。 我以前通过使用dnssec-signzone生成一个.signed文件来成功地手动签署了同一个区域。 但我不想每次都手动签名区域,所以我想使用inline-signing来让绑定做的东西。 所以我修改了key-directory "/etc/bind/keys"; dnssec-validation auto; dnssec-enable yes;的选项语句key-directory "/etc/bind/keys"; dnssec-validation auto; dnssec-enable yes; key-directory "/etc/bind/keys"; dnssec-validation auto; dnssec-enable yes; 并在zone语句中添加了auto-dnssec maintain; inline-signing yes; auto-dnssec maintain; inline-signing yes; 。 但服务器仍然没有回答 $ dig DNSKEY @<domain_ns> 所以我最终find了这个命令给我一个错误。 # rndc loadkeys <domain> rndc: 'loadkeys' failed: multiple zone '<domain>' was found in multiple views 一点上下文:我在networking上使用“内部视图”,为他人使用“外部视图”。 我需要保持这些和我想签署的区域可用于两个视图。 然后我不知道如何解决这个问题,我已经inline-siging在两个视图或者只有一个视图中使用auto-dnssec和inline-siging选项。 […]
我正在尝试在自己的域名上设置DNSSEC,并遇到了问题。 在使用以下站点检查configuration时,出现错误: http://dnscheck.pingdom.com/troubleshooting.php?domain=dontgetlemon.eu Broken chain of trust for dontgetlemon.eu – DNSKEY found at child, but no DS was found at parent. The child seems to use DNSSEC, but the parent has no secure delegation. Because of this, the chain of trust between the parent and the child is broken and validating resolvers will not be […]
有谁知道哪些可能是RRSIG有效期和辞职间隔的推荐值? 问候
有些人想知道DNSSEC如何影响全球审查,我想知道DNSSEC是否可以保护一个区域免受祖父母区域的部分修改。 (这个问题的关键不是build议ICANN或其成员不被信任,而是要弄清楚DNSSEC如何影响他们理论上可以行使的权力。) 例如: ICANN拥有根区域 .de区域被授权给德国的DENIC。 假设example.de被委托给某个第三方。 现在,假设DENIC不从他们的区域移除example.de,他们是否有可能通过从abc.example.de的.de服务器返回签名logging来redirect子域abc.example.de。 同样,DNS根可以轻松地返回第三级域xy.z的签名假logging,而第二级域z不参与此操作,否则不会受到影响?
正如标题所说。 DNSSEC的devise及其在Bind中的实现(以及诸如Unbound之类的事情)相当明显地允许使用。 他们可以select进行DNSSECvalidation,如果validation失败,则返回SERVFAIL。 或者,也可以将其设置为“支持”DNSSEC,但不进行实际validation,允许客户端软件使用“DO”位(使用EDNS)请求DNSSEClogging并自行进行validation。 值得注意的是,谷歌自己的公共DNS服务器似乎遵循后者,允许DNSSEC请求通过它们,但不是自己进行DNSSECvalidation。 DNSSEC设想运行这两种方式中的哪一种? 如果你想要的上下文,想象你有几个小的Web应用程序服务器和cachingrecursionDNS服务器,他们做DNS请求通过。
less数我转发的DNS查询会导致BIND 9logging消息,如: 184.in-addr.arpa SOA: got insecure response; parent indicates it should be secure validating @0x7f93140c0870: 100.64-26.75.195.82.in-addr.arpa PTR: no valid signature found validating @0x7f93100c8830: www.nbcnews.com A: no valid signature found validating @0x7f93287f2a00: cabotelecom.com.br NSEC: verify failed due to bad signature (keyid=13661): RRSIG has expired 我将查询转发到支持DNSSEC的服务器。 所以:我应该关心这些,鉴于我没有办法对他们做任何事情吗? 如果是的话,我真的可以做些什么呢?
我得到这个错误: Inconsistent security for stakeholdergame.com – DS found at parent, but no DNSKEY found at child. 在http://dnscheck.pingdom.com/?domain=stakeholdergame.com上 人们无法访问我的网站与谷歌公共DNS因此。 我如何解决这个问题? dig @ns1.haveabyte.nl stakeholdergame.com DS向我展示了这一点 ; <<>> DiG 9.8.3-P1 <<>> @ns1.haveabyte.nl stakeholdergame.com DS ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42223 ;; flags: qr aa rd; […]
我爱我的注册服务机构(我不会指定); 但他们目前只能签署和发布我的.com和.net KSK DSlogging,这些logging只能通过电子邮件以“[email protected]”(无API)签名。 虽然我没有使用任何“异国情调”的顶级域名,但缺乏对.org的支持是很麻烦的。 在这个迟到的date(2015年4月),是否适合使用ISC的.org域名旁观? 有人还在用旁观吗? 还是应该每个人真的仍然在使用旁观? 我对我的注册商的忠诚是错误的吗? 或者我应该简单地将我的域名转移给技术更好的人?