我爱我的注册商(我不会说出他的名字);但他们目前只能签署和发布我的 KSKDS记录,.com并且.net只能通过电子邮件签署到“[email protected]”(无 API)。虽然我不使用任何“异国情调”的 TLD,但缺乏对 TLD 的支持.org是很麻烦的。
在这个较晚的日期(2015 年 4 月),是否适合对我的.org域使用 ISC 的后备信息?
有人还在使用旁观者吗?还是每个人实际上都应该使用后视镜?
我对注册商的忠诚是否被误导了?还是我应该简单地将我的域名转移给技术更好的人?
部分问题显然是基于意见的,但此时我将尝试解决依赖DNSSEC 后备 (
DLV)的细节。首先,在几个主要的验证解析器软件实现中实现了后备支持,但不是全部。即使软件实现了后备支持,它通常也不会默认启用(可能是因为它的使用并非完全没有争议——不是“真正的标准”、可信密钥的中央存储库等)。
如今,随着根以及大多数 TLD 已签署(并希望允许创建已签署的委托),我认为假设在新部署中采用后备可能会下降很多,除非在以下情况下,这并不牵强。系统所有者自己依靠后备来满足自己的需求。
作为一些流行的验证解析器服务器的几个例子,谷歌的公共解析器不使用后备,康卡斯特的.
总的来说,后备似乎总比没有好,因为它仍然有潜在的用处,即使它的用处似乎正在下降。
如果可能(即,如果您知道您的大多数客户端将使用哪个解析器服务器),您可能需要进行一些测试,以确定依赖 DNSSEC 后备功能对您来说有多大用处。查询验证解析器服务器例如
nsec3.dlvtest.dns-oarc.net(并观察AD响应中的标志)将是一个好的开始。一些可能有用的读物(虽然已经有几年了):