为异域TLD设置DNSsec

Question

我有一个.money域名，我想实现DNSSEC。我的注册人是GoDaddy，他们的DNSSEC管理系统不支持.money。

如何轻松地为我的域设置DNSSEC？

Answer 1

.money是新的顶级域(TLD)之一，因此它(本身)应该支持DNSSEC

这就把DNSSEC的支持变成了你的登记员的问题。正如您已经注意到的，您的注册服务器及其DNS服务在默认情况下不支持它。

这使您只能选择使用DNSSEC服务器运行您自己的DNS服务器，我的意思是“属于”，我指的实际上是您自己的绑定服务器(不推荐)，或者是一些为您自动化DNSSEC的DNS提供程序。

然而，自己运行DNS并不是部署DNSSEC的完整解决方案。您还需要( a)通知您的注册员您不想再使用他的DNS服务器，但是您自己的(这应该是一个标准的事情)和b)告诉注册官所谓的"DS“记录。注册员需要将DS记录放入父区域(即.money)，这应该与DS记录一起通过一个短的支持票来完成。

Answer 2

所有“新”的gTLDs都支持DNSSEC，这是ICANN与登记册签订的合同强制执行的。

现在的问题可能是登记员。有两个部分:您需要(目前，但我们已经开始看到像.DK中的Cloudflare这样的解决方案)通过您的注册程序将必要的DS或DNSKEY记录发送到注册表。这基本上是当你维护自己的DNS。另一部分是当注册员为您执行DNS服务时(在这种情况下，它仍然需要向注册表发送DNSSEC参数，但这对您来说是隐藏的)。

同样，ICANN合同授权所有登记人员支持向登记册发送DNSSEC关键材料。然而，它并不要求他们(因为这实际上与他们的注册服务完全无关)拥有支持DNSSEC的DNS服务。

因此，你首先需要了解你是哪一种情况。请注意，在DNS服务器上同时启用DNSSEC是一项不小的任务/承诺。

在任何情况下，你有没有向你的登记员求助？如果它不能或不愿意帮助你支付的服务，这可能是一个迹象，你应该改变你的购物地点。