Вопросы Теги

Невозможно настроить DNSSEC, нарушенная цепочка доверия

Я пытаюсь установить DNSSEC на своем домене и запустил в вопрос. При проверке конфигурации на следующем сайте я получаю сообщение об ошибке:

http://dnscheck.pingdom.com/troubleshooting.php?domain=dontgetlemon.eu 

Broken chain of trust for dontgetlemon.eu - DNSKEY found at child, but no DS was found at parent.

The child seems to use DNSSEC, but the parent has no secure delegation. Because of this, the chain of trust between the parent and the child is broken and validating resolvers will not be able to validate answers from the child.

Я не совсем уверен, что здесь делать, не большой опыт настройки.

Теперь позвольте мне немного объяснить настройку:

  • Регистратором домена является cloudns.net
  • Я использую cloudflare для домена
  • У меня есть cloudflare NS в панели моего регистратора
  • я добавил запись TXT для настройки DS и DNSKEY в панели регистратора. У моего регистратора нет DNSKEY / DS / NSEC

Мои записи TXT выглядят следующим образом: enter image description here

Я также проверил свою настройку, используя эти: http://dnsviz.net/d/dontgetlemon.eu/dnssec/ http://dnssec-debugger.verisignlabs.com/dontgetlemon.eu

0
задан 26 November 2017 в 09:29
1 ответ

Как правило, DNSSEC нельзя настроить только в вашей зоне dontgetlemon.eu , но ее также необходимо добавить в родительскую зону .eu . Точно так же, как объясняет отладчик DNSSEC Verisign Labs:

Для dontgetlemon.eu в зоне ес не найдено записей DS.

Родительский данные зоны должны включать записи DS для дочерней зоны. Чтобы исправить это, лицо, подписывающее зону dontgetlemon.eu , должно отправить текущие записи DS в eu .

DNSSEC должен быть включен через вашего регистратора. Они запрашивают .eu подписать вашу DS своим собственным ключом, завершая цепочку доверия .

Вы заявляете, что ClouDNS является вашим регистратором, а ClouDNS похоже, не поддерживает DNSSEC для главной , т.е. первичных зон. Это может стать проблемой, если вы используете их в качестве регистратора или поставщика DNS.

Q: Поддерживаете ли вы DNSSEC?

A: Да, мы поддерживаем это для Подчиненные / резервные / вторичные зоны DNS.

Однако, как сообщает whoisdb, ваш регистратор на самом деле является реестром публичных доменов. 

Registrar:
        Name: PDR Ltd.
        Website: http://www.publicdomainregistry.com

Кажется, у них есть поддержка, но в настоящее время инструкции недоступны (HSTS и неверный CN).

3
ответ дан 4 December 2019 в 12:18

Теги

Похожие вопросы