我正在用绑定9.7.2-P2testingDNSSEC。 我有一个关于在已经存在的区域上创build的第一个签名的问题。 我正在使用dynamicDNS。 我创build了前两个键:一个KSK和一个ZSK。 根据https://datatracker.ietf.org/doc/draft-ietf-dnsop-dnssec-key-timing/ ,第一个ZSK需要在等于Ipub的时间间隔内发布,才能被激活。 我创build的ZSK的激活date之前的发布date。 我重新启动服务,我可以看到该密钥在出版date发布,但在激活date到达时,它不会激活。 这是named.conf文件中的区域dnssec.es的configuration: zone "dnssec.es" { auto-dnssec maintain; update-policy local; sig-validity-interval 1; key-directory "dnssec/keys_dnssec"; type master; file "dnssec/db.dnssec.es"; }; 任何线索? 问候
以非专业的身份,我照顾了大约18个域名的DNS:大部分是直系亲属的个人/虚荣域名。 整个shebang被外包给一个廉价的pipe理托pipe服务提供商,他们有一个web界面,通过它我pipe理区域。 这些领域是不重要的,以针对他们的攻击似乎比我的提供者的系统的一般妥协的可能性要小得多,在这一点上,他们的所有客户的logging可能被改变为误导通信量(可能具有极长的TTL)。 DNSSEC可以减轻这种攻击,但前提是该区域的私钥不在主机提供商手中。 所以,我想知道: 如何才能让DNSSEC私钥离线,但是仍然会将已签名的区域传送给外包的DNS主机? 最明显的答案(对我来说,至less)是运行自己的影子/隐藏的主(提供者可以从属),然后根据需要将脱机签名的区域文件复制到主服务器。 问题是我唯一需要控制的机器是我的笔记本电脑,它通常连接一个典型的家用ADSL(即通过dynamic分配的IP地址在NAT之后)。 让它们成为奴隶(例如,当我的笔记本电脑处于离线/不可用状态时,在该区域有一段非常长的Expiry时间)不仅需要一个dynamic的DNSlogging,从它们可以从属(如果确实它们可以从一个指定的主机比一个明确的IP地址),但也会涉及到我的笔记本电脑上运行一个DNS服务器,并打开它和我的家庭networking到传入区域传输请求:不理想。 我更喜欢更多的面向推送的devise,即我的笔记本电脑启动将离线签名的区域文件/更新传送给提供者。 我研究了nsupdate是否可以适应这个法案:文档有点粗略,但是我的testing(使用BIND 9.7)表明它确实可以更新DNSSEC区域,但是只有服务器拥有密钥才能执行区域签名; 我还没有find一个方法来进行更新,包括相关的RRSIG / NSEC /等。 logging并让服务器接受它们。 这是一个支持的用例吗? 如果不是的话,我怀疑唯一能解决这个问题的解决scheme将涉及到基于DNS的区域更新的非DNS转换,并欢迎由(希望价格低廉)托pipe服务提供商支持的build议:SFTP / SCP? rsync的? RDBMS复制? 专有的API? 最后,这种设置的实际含义是什么? 重要的轮换在我身上跳跃是一个明显的困难,尤其是如果我的笔记本电脑长时间处于离线状态。 但是这些区域是非常稳定的,所以也许我可以用长寿命的ZSK来逃避** …? *虽然我可以在一个外包的VPS上运行一个影子/隐藏的主人,但我不喜欢必须保护/pipe理/监视/维护另一个系统的开销。 更不要说这样做的额外财务成本了。 **好吧,这将使确定的攻击者能够重放过期的logging – 但是这些领域的风险和影响都是可以忍受的。
NSEC3logging中是否有关于盐长的build议? 盐是否越长意味着安全性越好,盐度越长会影响(权威)服务器的性能? DNSSEC的运营实践中没有提到盐的长度。 在查看具有DNSSEC列表的TLD时 ,我看到.COM使用零长度盐(无盐),而一些TLD使用长达16字节的盐。 有没有原因?
我以为我需要两个DSlogging存放在我的域名注册商。 但是一家大的DNS提供商给了我一个DSlogging。 Verisign DNSSECdebugging器说,一切都是正确的。 但是我很困惑,因为dnssec-keygen(DNSSEC密钥生成工具)总是给我两个DSlogging。 我有我的疑惑。
我正尝试在运行DirectAdmin控制面板的CentOS 6.4上用BIND9configurationDNSSec。 我正在使用本教程使其工作: https : //www.dnssec-tools.org/wiki/index.php/Zonesigner 但我无法得到它的工作… 当我运行这个命令时: zonesigner –genkeys jordikroon.nl.db jordikroon.nl.db.signed 我得到这个错误: jordikroon.nl.db:17: ignoring out-of-zone data (jordikroon.nl) jordikroon.nl.db:18: ignoring out-of-zone data (jordikroon.nl) jordikroon.nl.db:22: ignoring out-of-zone data (jordikroon.nl) jordikroon.nl.db:29: ignoring out-of-zone data (jordikroon.nl) jordikroon.nl.db:33: ignoring out-of-zone data (jordikroon.nl) zone jordikroon.nl.db/IN: has no NS records zone jordikroon.nl.db/IN: not loaded due to errors. 我无法在networking上find有关此错误的任何信息。 这是我的区域数据库文件: $TTL 14400 […]
这实际上是对我以前的问题(我的问题已解决)的后续处理,可以在这里find: DNSSEClogin区导致致命故障 不过,我仍然想在创build签名区域文件时使用dnssec-signzone 。 我更正了语法后 dnssec-signzone -o home.garage.top -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051 我得到以下输出 dnssec-signzone: fatal: cannot load dnskey Khome.garage.top.+005+36051: file not found 我知道它意味着什么,但是我无法把头围住。 我试图追加到home.db的键,我也试图把它们包含在`named.conf。 该文件的权限也看起来不错 -rw-r–r– root bind 当我做了包括我使用的文件,即/etc/bind/keyfile的绝对path,他们位于与db文件相同的目录。 可能不是最好的做法,但除非这是一个问题,否则我会让他们留在原地,直到我得到它的工作。 看起来像是KSK,但是ZSK不是。 我还会包含这些文件的内容 KSK == home.garage.top IN DNSKEY 257 3 5 "keyhash" ZSK == home.garage.top IN DNSKEY 256 3 5 "keyhash" 这些文件中的注释激活date是12月27日,所以我认为这也不会成为问题。 任何build议,或者我应该尝试重做钥匙,并重新开始? 提前致谢。
我正在为我的域名使用DNSSEC,我的DNS服务器是双重归属的(对公共界面上可查询的内容有适当的限制),同时涵盖了我的公有领域,也涵盖了私有顶级域名(.loc)在我的局域网上使用。 我正在努力解决如何将.loc域的DSlogging添加到我的bind9configuration中。 由于它是顶级域名,因此通常会列出根服务器。 我可以在$ ORIGIN语句之前将它添加到我的区域文件吗?
我想对.social TLD施加压力,以便他们可以实施DNSSec,但是我购买域名的公司只是一个经销商(NameCheap)。 我不认为与他们开票是有效的联系TLD所有者本身。 我应该如何识别并要求给定的TLD所有者实施DNSSec? 我尝试的步骤包括 使用Internic进行检查,并查看注册服务商是谁 如果您还没有从这些经销商处拥有域名,则很难打开一张票 什么是最好的方式进行?
我从OVH和两个域名(我们称之为first.com和second.com)有一个很好的小VPS。 由于OVH不支持DNSSEC和CAAlogging,我被告知可以设置自己的DNS服务器,通过将second.com指向DNS服务器来提供first.com的logging(到目前为止我是对的?)。 现在,我已经按照这个指南 ,基本上区域文件是一切都很好,但问题是,如何让OVH知道我想使用该名称服务器和什么数据(键)正是我必须提供注册商使DNSSEC正常工作? 对不起,这个愚蠢的问题,请让我知道,如果有什么不清楚。
我已经从Namecheap转移.com域到EuroDNS。 从那一天起,我遇到了这样一个问题:域名不能从所有DNS服务器上parsing,例如: $ host -a flibsy.com 8.8.8.8 Trying "flibsy.com" Using domain server: Name: 8.8.8.8 Address: 8.8.8.8#53 Aliases: Host flibsy.com not found: 2(SERVFAIL) Received 28 bytes from 8.8.8.8#53 in 77 ms 有人build议我说我已经“破坏了DNSSEC”,如下所示: http://dnsviz.net/d/lxsky.flibsy.com/dnssec/和http://dnsviz.net/d/flibsy.com/dnssec/ EuroDNS告诉我他们不支持DNSSEC。 我该如何解决这个问题?