（首先，我是一般域和 DNSSEC 的新手）。我已尝试在我的域的 NamesSilo 上启用 DNSSEC。我只有平面文本中的 ds 记录，不知道必须在它们看起来像这样的地方插入哪个值：

33333 77 1 9999999999999999999999999999999999999999
33333 77 2 9999999999999999999999999999999999999999999999999999999999999999
33333 77 4 999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999

（这些数字是占位符，相同的数字表示相同的值，但 1,2 和 4 实际上存在，并且值的长度也是正确的）。但在 NameSilo 中我必须输入以下内容：

Digest: [text field]
Key Tag: [text field]
Digest Type: [dropdown select option]
Algorithm: [dropdown select option]

我不知道这些值代表什么，也不知道在哪里插入它们。我必须使用 Namesilo，因为我可以在没有 kyc 验证的情况下用比特币支付。我必须使用 ydns，因为我的 ip 不是静态的，我将我的域用于我自己托管的项目。帮助将不胜感激..

区域文件应该只包含 KSK 的 DNSKEY 记录，还是也应该包含 ZSK 的 DNSKEY 记录？

它是拒绝返回请求的记录，还是返回记录，将域视为不安全？

DNSSEC 验证和验证区域数据的目的是确保无论 DNS 结果如何，这些都是真实的。

1. 即使 DNS 解析器验证权威名称服务器已发送正确的未篡改数据，我们如何防止 DNS 解析器向 DNS 客户端发送篡改的 DNS 响应？

2. 如果 DNS 解析器不支持 DNSSEC，它是否仍可以将 DNS 查询发送到为其区域启用了 DNSSEC 的权威名称服务器？

谢谢

我正在尝试使用 Bind9 制作一个仅缓存/转发 DNS 服务器，并默认启用 DNSSEC 验证。

假设您从我的配置文件中获得以下信息：

acl "home-net"
{
    127.0.0.1;
    ::1;
    192.168.1.0/24;
    2000:db8:cafe:100::/64;
};

options
{
    forwarders
    {
       # Use Google DNS either by IPv6 or IPv4 is fine.
       2001:4860:4860::8888;
       2001:4860:4860::8844;

       8.8.8.8;
       8.8.4.4;
    };

   dnssec-enable yes;
   dnssec-validation auto;

   allow-query { any; };
   allow-query-cache { home-net; };
   allow-recursion { home-net; };
};

zone "subdomain.example.net" {
    type forward;
    forward only;

    forwarders 
    { 
       # SAMBA PDC1 (Active Directory)
       2000:db8:cafe:100::1;
    
       # SAMBA PDC2 (Active Directory)
       2000:db8:cafe:100::2;    
    };
};

据我所理解：

每当我想查找在子域中注册的主机时subdomain.example.net，名称服务器就会联系我在区域配置的转发器部分中列出的两个 SAMBA PDC 之一。

域名服务器将依次进行 DNSSEC 验证，以确保这两个 SAMBA PDC 实际上被授权回复对域的请求subdomain.example.net。

如果来自 SAMBA PDC 的回复无法通过 DNSSEC 验证，则名称服务器将转向 Google DNS 并询问他们是否可以提供经过 DNSSEC 验证的响应。

现在问题来了：

据我了解，无论是通过使用 SAMBA INTERNAL_DNS 还是通过 BIND9_DLZ，在 SAMBA 中都没有 DNSSEC 支持，因此您永远无法对 SAMBA 维护的任何区域进行 DNSSEC 验证。

据我了解有3个选项：

• 全局禁用 DNSSEC 验证。
• 使用负信任锚。
• 使用“验证除外”选项。

我会一一处理。

禁用 DNSSEC

在我的书中，这不是一个真正的选择。它基本上将您的设置减少到“在全球范围内工作”......除了您在世界的某个小角落，所以最好一起禁用它。

只需将dnssec-enable和的值更改为dnssec-validation即可no。

在我可以再次激活 DNSSEC 之前，我只会将其用作临时修复。

使用负信任锚

起初我的兴趣达到了顶峰。这个想法是您注册一个特殊的加密密钥，rndc然后它不会对您想要的域进行任何 DNSSEC 验证。

然而，这是一个临时修复，因为密钥的生命周期最多为一周。

这意味着您必须执行与 Let's Encrypt 中的证书相同类型的资源 - 只是必须更频繁地触发 cron 作业。

使用 'validate-except' 选项

从理论上讲，这应该是所有解决方案中最简单的。

我只需要添加一个新部分即可options调用validate-except。

像这样：

options
{

   dnssec-enable yes;
   dnssec-validation auto;

   validate-except
   {
       "subdomain.example.net";
       "another.example.net";
   };
};

听起来很简单——对吧？:-)

...除了我的名称服务器由于“未知选项 - 验证除外”而没有启动。

编辑：原来 Raspberry OS 使用 Bind 版本 9.11 而该validate-except选项仅在 Bind 版本 9.13 中实现。

作为参考，用于 Raspberry 的 Ubuntu 20.04 使用 Bind 版本 9.16。

那么有没有人有关于 DNSSEC 的混合模式设置的经验？

...或者最简单的解决方案是承认失败并安装 Ubuntu 20.04？:-)

环境： AWS、DNSSEC

当我尝试创建 DS 记录以建立信任链时，我收到一个我不理解的错误。

我的完整错误。

Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)

奇怪的是，当我尝试将密钥添加到像www.example.com这样的子域时，它可以工作。但这不是我需要的。我需要它为整个域工作。

我们的政府发布了一份声明，所有视频/语音在线支持软件都需要使用 DNSSEC 进行所有地址转换，并且所有使用的 DNS 服务器都需要支持 DNSSEC。

我为“my_organization.webex.com”甚至“webex.com”尝试了几个 DNSSEC 检查器和分析器（https://dnssec-analyzer.verisignlabs.com/www.webex.com ），对我来说，这个域似乎没有'不使用/支持 DNSSEC。

我在 Cisco/Webex 网站上找不到任何相关信息。

我简直不敢相信 Cisco Webex 不会使用 DNSSEC，所以我的问题是：我错过了什么吗？还是有理由不使用它？

谢谢

我使用 Google Domains 并且刚刚在 A2 Hosting 开设了一个帐户。我想继续使用 DNSSEC。A2 Hosting 要求我“请打开支持票并提供以下信息：

DS 记录摘要摘要类型算法公钥密钥标记标志"

我知道如何将这些放入 Google，但是从 A2 请求的好的默认设置是什么？

我设置了 Opendkim milter 以在我的机器上使用 postfix。现在电子邮件已正确签名和验证，即电子邮件源代码显示DKIM-Signature标题。

TXT权威 dns 上的记录是这样设置的：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT   "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...

所以乍一看一切都很好，但是当我在我的机器上运行诊断程序时，它会说：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> opendkim-testkey -d domain.eu -s dkim-domain -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK

注意key not secure答案。我从这个答案中读到警告存在，因为 DNSSEC 未启用。但是我的域的 DNSSECdomain.eu已启用。根据DNSViz。

添加：

可能是我之前链接的主题具有误导性，因为我后来在这里阅读了一个答案，表明警告是由于对密钥对的权限过于宽松！我在密钥对及其文件夹上设置用户权限，如下所示：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim  451 Dec 30 08:46 dkim-rsa-public.key

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan  1 07:18 /etc/opendkim/keys/

所以它应该是安全的......但它不是。

我想知道 DNSSEC 的目的，它真正试图解决什么问题？我认为通过将非 DNSSEC DNS 服务器插入为区域的非 DNSSEC 副本提供服务的网络，很容易欺骗 DNSSEC。但也许这不是 DNSSEC 试图解决的问题？

使用 DNSSEC，DNS 服务器使用公钥加密来签署和检查彼此的区域。例如，这可能有助于防止 DNS 缓存中毒。只有在检查了 DNS 响应的签名后，数据才会添加到缓存中。

好的。

但是客户端如何验证他们正在使用受 DNSSEC 保护的 DNS？如果您尝试防止 DNS 缓存中毒但不防止 DNS 服务器插入，那么 DNSSEC 是否值得麻烦？

根据https://dnssec-analyzer.verisignlabs.com/ ，我有一个受 DNSSEC 完全保护的域。在我公司的 DNS（或餐厅 wifi）中，我将此域（或“区域”）的副本添加到网络 DNS 服务器。此本地 DNS 区域未使用DNSSEC。公司 DHCP 服务器指示公司网络（或餐厅 wifi）中的客户端使用公司 DNS。现在，如果我更改公司 DNS 上复制区域中的记录，客户只需遵循这些更改而不会发出警告或投诉。最终用户可能认为他们是安全的，因为他们在文档中阅读了我的区域受 DNSSEC 保护，但实际上他们在我的公司网络（或餐厅 wifi）上使用了欺骗区域并且根本没有受到保护？