次级Nameserver DNSSEC

Question

我有一个隐藏的主DNS名称服务器通知和更新两个公共从DNS服务器：

• 我自己运行Debian/Bind9DNS的VPS
• 第三方辅助名称服务器提供者(afraid.org)

我终于让DNSSEC与隐藏的主服务器和我的公共从服务器(VPS)一起工作。

现在，我正在搜索一个也可以支持DNSSEC的次级名称服务器服务提供者。我找不到一个。我不明白为什么。

然后我在二级维基上看到了这条线索：

• “您不能同时使用具有相同域名的DNSSEC和辅助DNS。”

为什么第三方不能提供带有DNSSEC的二次名称服务器？

Answer 1

如前所述，引用的语句是一个服务提供者，指出了他们自己的服务的局限性，这不是一个普遍的事实。

真正需要做的就是做你想要的工作：

• 从名称服务器获取完整区域数据(包括公钥、签名、所有内容)的精确副本，例如正常区域传输(AXFR/IXFR)发生了什么，并简单地逐字使用接收到的区域数据，不对数据进行处理。
• 从名称服务器软件支持DNSSEC。Ie支持EDNS0，知道如何处理头/EDNS0 0字段中与DNSSEC相关的标志(例如在响应请求DNSSEC的查询时返回相关的RRSIG/NSEC )。

至于为什么问题中引用的服务提供者不能这样做，您确实需要将问题定向给他们，以得到正确的答案。

也许他们使用的是一些自定义或过时的名称服务器软件，无法满足上述要求？也许这是某种政策决定，甚至不是纯粹的技术性决定？

如果您查看更多关注DNS托管的服务提供商，我的印象是，像上面这样的需求通常是没有问题的(前提是它们首先有一个从名称服务器选项)。

Answer 2

这不是一个普遍正确的说法。这可能是他们自己的限制，或者试图说次级名称服务器不能对记录进行签名。启用DNSSEC时，主名称服务器执行签名。因此，它也是唯一需要保存私有签名密钥的权威名称服务器。然后，任何辅助名称服务器都应该能够使用AXFR区域传输已经签名的区域。

Answer 3

我正在使用ClouDNS作为DNSSEC签名区域的辅助DNS，它没有问题(但您需要为备用帐户付费)。

freedns.42.pl提供免费的DNS服务器(包括主服务器和辅助服务器)，据我所知，辅助服务器支持DNSSEC，没有问题。