DNSSEC 需要客户端(操作系统?)的支持吗?选一个支持 DNSSEC 的 NameServer 就可以了吗?
amd · 2016-05-10 15:50:12 +08:00 via iPad · 3861 次点击这是一个创建于 3118 天前的主题,其中的信息可能已经有所发展或是发生改变。
4 条回复 • 2016-05-12 17:50:20 +08:00
 |
1
qcloud 2016-05-10 16:00:51 +08:00
选一个支持 DNSSEC 的 NameServer 就可以了
|
 |
2
fermatrolle 2016-05-10 23:19:19 +08:00
[aigo@daemon ~]$ dig www.paypal.com +dnssec @8.8.8.8
; <<>> DiG 9.10.3-P4-RedHat-9.10.3-12.P4.fc23 <<>> www.paypal.com +dnssec @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64379 ;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 512 ;; QUESTION SECTION: ;www.paypal.com. IN A ;; ANSWER SECTION: www.paypal.com. 270 IN CNAME www.paypal.com.akadns.net. www.paypal.com. 270 IN RRSIG CNAME 5 3 300 20160604123809 20160505122959 11811 paypal.com. cws+FK7yIPJs4AVaWPCt3MLc2XbQF0H6IoqPQy48lUlVtc8D99oCCPlA xR3930kV4QQ1jd07BT9MmrvnFQS378sQLo4MdH3xmZkSEmf10rai8Fo5 4ccFUyoDq/pR49Om3TgdmKy17ADgA4x25NTc9QxYDFz+/4jHzgWC6PGS izo= www.paypal.com.akadns.net. 29 IN CNAME ppdirect.paypal.com.akadns.net. ppdirect.paypal.com.akadns.net. 299 IN CNAME wlb.paypal.com.akadns.net. wlb.paypal.com.akadns.net. 29 IN CNAME www.paypal.com.edgekey.net. www.paypal.com.edgekey.net. 33 IN CNAME e3694.a.akamaiedge.net. e3694.a.akamaiedge.net. 19 IN A 23.45.85.150 ;; Query time: 201 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Tue May 10 23:17:19 CST 2016 ;; MSG SIZE rcvd: 379 不仅要服务器支持 dnssec ,如 8.8.8.8 还要求域名提供了签名,如 www.paypal.com (一般是对安全性要求比较高的域名)。 如果返回的记录中有 RRSIG 记录,则表示支持 dnssec 建议 google dnssec how to 。 |
 |
3
leavic 2016-05-11 10:13:56 +08:00
一般的 DNS Forwarder 和 Client 都不会开启 DNSSEC ,因为绝大部分域名本身没有启用 DNSSEC , DNSSEC 对启用了该功能的域名,如果校验不通过也只是丢弃,顶多用来防止污染,并不能获得正确解析。
|
 |
4
CloudXNS 2016-05-12 17:50:20 +08:00
不仅 DNS 服务(包括授权 DNS 和递归 DNS )要支持,域名也得提供签名。
|
Select Language