V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
amd
V2EX  ›  DNS

DNSSEC 需要客户端(操作系统?)的支持吗?选一个支持 DNSSEC 的 NameServer 就可以了吗?

  •  
  •   amd · 2016-05-10 15:50:12 +08:00 via iPad · 3847 次点击
    这是一个创建于 3110 天前的主题,其中的信息可能已经有所发展或是发生改变。
    4 条回复    2016-05-12 17:50:20 +08:00
    qcloud
        1
    qcloud  
       2016-05-10 16:00:51 +08:00
    选一个支持 DNSSEC 的 NameServer 就可以了
    fermatrolle
        2
    fermatrolle  
       2016-05-10 23:19:19 +08:00
    [aigo@daemon ~]$ dig www.paypal.com +dnssec @8.8.8.8

    ; <<>> DiG 9.10.3-P4-RedHat-9.10.3-12.P4.fc23 <<>> www.paypal.com +dnssec @8.8.8.8
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64379
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags: do; udp: 512
    ;; QUESTION SECTION:
    ;www.paypal.com. IN A

    ;; ANSWER SECTION:
    www.paypal.com. 270 IN CNAME www.paypal.com.akadns.net.
    www.paypal.com. 270 IN RRSIG CNAME 5 3 300 20160604123809 20160505122959 11811 paypal.com. cws+FK7yIPJs4AVaWPCt3MLc2XbQF0H6IoqPQy48lUlVtc8D99oCCPlA xR3930kV4QQ1jd07BT9MmrvnFQS378sQLo4MdH3xmZkSEmf10rai8Fo5 4ccFUyoDq/pR49Om3TgdmKy17ADgA4x25NTc9QxYDFz+/4jHzgWC6PGS izo=
    www.paypal.com.akadns.net. 29 IN CNAME ppdirect.paypal.com.akadns.net.
    ppdirect.paypal.com.akadns.net. 299 IN CNAME wlb.paypal.com.akadns.net.
    wlb.paypal.com.akadns.net. 29 IN CNAME www.paypal.com.edgekey.net.
    www.paypal.com.edgekey.net. 33 IN CNAME e3694.a.akamaiedge.net.
    e3694.a.akamaiedge.net. 19 IN A 23.45.85.150

    ;; Query time: 201 msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8)
    ;; WHEN: Tue May 10 23:17:19 CST 2016
    ;; MSG SIZE rcvd: 379

    不仅要服务器支持 dnssec ,如 8.8.8.8
    还要求域名提供了签名,如 www.paypal.com (一般是对安全性要求比较高的域名)。
    如果返回的记录中有 RRSIG 记录,则表示支持 dnssec
    建议 google dnssec how to 。
    leavic
        3
    leavic  
       2016-05-11 10:13:56 +08:00
    一般的 DNS Forwarder 和 Client 都不会开启 DNSSEC ,因为绝大部分域名本身没有启用 DNSSEC , DNSSEC 对启用了该功能的域名,如果校验不通过也只是丢弃,顶多用来防止污染,并不能获得正确解析。
    CloudXNS
        4
    CloudXNS  
       2016-05-12 17:50:20 +08:00
    不仅 DNS 服务(包括授权 DNS 和递归 DNS )要支持,域名也得提供签名。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1299 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:01 · PVG 02:01 · LAX 10:01 · JFK 13:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.