Articles of dnssec

为了进行本地DNSSECvalidation，我使用Raspian Jessie设置了一个Raspberry Pi（具有静态IP），并且解除绑定，为我的局域网提供DNS服务器。 在我查阅了一些教程和howtos之后，我想出了这个似乎可行的configuration： # Unbound configuration file for Debian. # # See the unbound.conf(5) man page. # # See /usr/share/doc/unbound/examples/unbound.conf for a commented # reference config file. # # The following line includes additional configuration files from the # /etc/unbound/unbound.conf.d directory. include: "/etc/unbound/unbound.conf.d/*.conf" server: verbosity: 1 interface: 0.0.0.0 interface: ::0 access-control: 192.168.0.0/24 allow hide-identity: […]

编辑于2017-10-25。 原来的问题是误导。 我们有一个网站在http://admin.gigantisch.nl/的子域上运行。 自从gigantisch.nl域名更改IP地址以来，我们一直无法访问各种设备和networking上的admin子域名。 实验和诊断工具似乎表明这是一个DNS问题。 过去几天我们已经成功访问​​了多次，但这似乎是由于我们各种设备（包括路由器）上的DNSloggingcaching。 这也可能是由于我们的ISP的DNS服务器和Google的公共DNS服务器的cachinglogging。 运行在线诊断工具时： http : //dnsviz.net/d/admin.gigantisch.nl/dnssec/ ，表示NSEC3logging存在问题。 我不知道这个logging是什么，或者如何pipe理它。 我们的域名注册商的DNS区域编辑器面板没有关于NSEClogging。 让所有这些变得更加莫名其妙的是，我们在子域上运行的另一个网站： http : //backoffice.gigantisch.nl/ ，没有这些问题。 原文问题： 在这个办公室里，我们在我们的主网站的子域上有一个网站，我们可以通过我们的无线连接访问，但不通过我们的有线networking。 我也可以使用蜂窝数据在手机上访问它。 该网站的地址是： http ： //admin.gigantisch.nl/ 整个域最近更改了IP地址，所以这里可能存在某种DNS问题。 如果使用Google的DNS工具（ https://dns.google.com/query?name=admin.gigantisch.nl&type=CNAME&dnssec=true ）进行validation，则会在“注释”中说明：“DNSSECvalidation失败，请检查http：// dnsviz.net/d/admin.gigantisch.nl/dnssec/“ 。 该工具，给我们以下错误： “NSEC3certificate不存在admin.gigantisch.nl/A：NSEC3 RR覆盖通配符本身（* .gigantisch.nl），表明它不存在。 NSEC3certificate不存在admin.gigantisch.nl/A：NSEC3 RR覆盖通配符本身（* .gigantisch.nl），表明它不存在。 至less表明有DNS问题，我猜？ 奇怪的是，我们的其他网站没有这些问题， http：//backoffice.gigantisch.nl 。 DNSViz工具不指出这个子域的任何错误或警告。 我在想也许gigantisch.nl域的旧DNSlogging被有线路由器caching了，但是我没有用它来软重启。 有线networking作为无线networking的DNS服务器似乎设置为Google的服务器8.8.8.8和8.8.4.4。 对于* .gigantisch.nl有一个DNS Alogging设置，但对于这两个子域都没有。 另外，当我在客户端上运行Windows 10的networking诊断程序时，出现：“您的DNS服务器可能不可用”。 我似乎没有遇到任何其他连接问题，所以这可能与手头上的问题无关。 想法？ 编辑：当我设置我的本地连接使用我的ISP的默认DNS服务器，62.179.104.196和213.46.228.196，我可以访问http://admin.gigantisch.nl/没有问题。 当我设置路由器使用这些DNS服务器，但我再次无法访问它，即Chrome给我错误ERR_NAME_RESOLUTION_FAILED […]

试图让DNSSEC为区域工作。 软件：BIND 9.4.2-P2，操作系统Ubuntu 8.04 试图使用ZoneSigner签署区域，并发布到dlv.isc.org，但它抱怨重要的失踪。 键显示使用dig dnskey时。 域名是kristaps.lv 确切的错误信息 3.138:DEBUG RUN GET_ADDRESSES: Sending a recursive query for mazais.kristaps.lv A 3.532:DEBUG RUN GET_ADDRESSES: Got response for recursive query mazais.kristaps.lv A NOERRO R 3.533:DEBUG RUN GET_ADDRESSES: Caching address for mazais.kristaps.lv => 92.240.80.54 3.725:DEBUG RUN: Enqueued query 7 to 92.240.80.54 for kristaps.lv DNSKEY 3.725:DEBUG RUN: Got activity for […]

有人知道签名区域时抖动的默认值是什么？ 问候

我有DNS设置powerdns。 它很好地服务于我的DNS，并且AXFR到其他奴隶。 奴隶还没有更新到最新的logging，但这并不影响validation，它会出现。 我能想到的任何logging（AAAA，MX，TXT，甚至是www的CNAME）都会被validation – 除了Alogging： dig @149.20.64.20 +dnssec www.demize95.com CNAME返回;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7 while dig @149.20.64.20 […]

我正在使用bind9和dnssec-keygen / dnssec-signzone。 我签署我的转发区没有问题，但我似乎无法find有关签署反向区域的任何文档。 这是什么过程？

我有一个pfsense盒子，我正在configuration第一次使用DNSSEC的过程。 我用这个网站来检查我的DNSSEC状态 。 当我去这个网站时，我被告知，我的“DNSSECconfiguration为”宽容模式“我希望它处于安全或validation模式。 在我的pfsenseconfiguration中，我启用了未绑定的dnssec。 我也运行Unbound-anchor，如此处所述 。 我似乎没有得到任何错误，但我没有DNSSEC。 我想拥有DNSSEC。 我只关心我收到的DNS数据，我没有把任何地址放到网上。 我很高兴使用GUI，但CLI也很好。

为了在9.7+版本的BIND中实现auto-dnssec maintain ，将一个date添加到密钥中作为元数据。 经过大量阅读，我想出了以下内容，希望有人能够确认或纠正： $TTL 8h KSK lifespan == 1y ZSK lifespan == 30d Key created published active revoke inactive delete KSK1 [KSK0 revoke] [active [revoke [inactive + lifespan] + 2*TTL] + 2*TTL] KSK2 [KSK1 revoke [KSK1 revoke] – 2*TTL] ZSKs会遵循类似的模式。 最困难的要求是KSK和ZSK的优美滚动。 我知道需要重叠，而同时使用一对KSK或ZSK，但是我需要这些重叠的适当大小的帮助。 将ZSK的数量加倍（在重叠期间）必须使RRSIGlogging的数量增加RRSIG ，因此几乎是查询响应的两倍。 这是相当主观的; 但是这个双重负荷是否变得重要？ 据推测，创build和删除KSK DSlogging应该与密钥的“已发布”和“删除”date一致？

我注意到我的安全意识parsing器有一个奇怪的行为。 parsing安全域名时，parsing器会收到DS RRset和NS RRset。 但是当它处理到数据的validation时，它会再次请求DS RRset。 它似乎没有caching它得到的第一个。 我不知道我是否清楚，让我们来看看www.example.com. IN A ?会发生什么www.example.com. IN A ? www.example.com. IN A ? 。 请注意，我随机select此域名并不代表真实域名，如果此域名受DNSSEC保护，则不会进行事件检查。 首先，parsing器将parsing域名： […] #Asks NS "." and gets com. NS Resolver -> NS "com." Qry: www.example.com. IN A ? NS "com." -> Resolver Qry: www.example.com. IN A ? Auth: example.com. IN NS ns.example.com. example.com. IN DS […]

我有一个内部唯一的DNS服务器在Debian的BIND 9.8.4上运行，这会recursion并caching除了内部域（ourdomain.lan）以外的所有查询到OpenDNS。 我希望做的是当发生recursion时，让所有内部查询安全或不“转换”为安全，以便所有离开我们networking的查询都是DNSSEC查询。