我有一个新网站,它的 DNS 条目 (thetunegame.com) 现在已有 10 天了,所以它应该可以正常传播。
我已经让来自多个国家/地区的 200 多人毫无问题地访问它,但是有 4 个人都来自希腊(尽管这可能是样本偏差),他们无法访问它。有人给我发了这张截图:
我了解这意味着他们的系统找不到 DNS 条目。我不是专家,这不是我自己的系统,所以我的能力有限,但我已经确定:
- 更改为 Google DNS 服务器(并执行 ipconfig /flushdns)并不能解决问题
- 换网络确实解决了
- 并非所有 4 人都在同一个网络/ISP 上(因此这不是特定 ISP 的问题)
- 更改浏览器并不能解决问题(如果是 Chrome 缓存问题)
我的设置:
- Google 注册的域,指向 Cloudflare DNS
- Cloudflare 启用了 DNSSEC(以防万一)
我尝试过的事情:
- 要求有此问题的人执行上述操作
- 通过几个在线工具测试 DNS 对我和世界各地的服务器的解析是否正常(确实如此)
- 检查 Google 和 Cloudflare 之间的 DNSSEC 设置是否一致
我完全被困住了!我无法理解 4 个人(不在同一个网络上)怎么看不到它,即使通过 Google DNS 服务器尝试也是如此。
我不知道还要测试什么,以防我的设置有问题。
有没有办法确认我的设置是否正确?
如果是,我还能要求这些人尝试什么?
他们不是。您通过 Google 提交的委托指定了 RSA 密钥(算法 5),但 Cloudflare 的实际区域使用的是 ECDSA P-256 密钥(算法 13)。
您可以在DNSViz上查看 DNSSEC 验证状态:原始扫描、最新扫描。
算法不匹配使签名无法验证,因此使用验证解析器的人将收到 SERVFAIL 错误,而非验证解析器则没有域问题。Google 公共解析器 (8.8.8.8) 是一个验证器。
要解决此问题,请更改 Google 的 DNSSEC 设置以指定 ECDSA P-256 (13) 作为算法。您可能需要等待长达 24 小时,让旧的 DS 记录从缓存中过期。(DNSViz 将绕过缓存并更快地看到更改,但您必须单击“立即更新”以刷新图表。)
1 (显示的 512 位密钥大小对于 EC P-256 密钥是正常的。)