web-dev-qa-db-ja.com

GoogleのパブリックDNSを使用してウェブサイトを解決できません

GoogleのパブリックDNS 8.8.8.8を使用して、自分のサイトyippie.nlにアクセスできないようです。他のDNSは正常に機能します。

これはDNSKEYが原因でしょうか?原因Route53はそれを提供していません。

http://dnscheck.pingdom.com/?domain=yippie.nl 表示:

Yippie.nlの一貫性のないセキュリティ-DS親で見つかりましたが、子でDNSKEYが見つかりません。

親には子への安全な委任があります(DS RRsetは親で示されます)が、子にはDNSKEYがありません。これは、以前に署名されたゾーンが、保護された委任を削除する親。

それは私が見つけることができた唯一のものです。

Dig + trace + add yippie.nlを実行すると、完全なものが得られます:終了:

yippie.nl.      300 IN  A   94.75.224.2

問題は何でしょうか?

どうもありがとう!

domain-name-systemamazon-route53dnssec
4
Maurice Kroon

ドメインにDSレコードがあります(親ゾーンにあります):

Dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl.      7181    IN  DS  47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1

、そしてDNSKEYレコードを持っていません:

Dig yippie.nl DNSKEY
(no answer section)

また、DNSSECで署名されていません(RRSIGレコードはありません)。

GoogleパブリックDNSはDNSSECをチェックし、ドメインはDNSSEC(DSレコード)を持っていると主張しているが、実際には署名されていないため、DNSSEC対応のリゾルバーはそれを偽物と見なします。今日のほとんどのDNSリゾルバーはまだDNSSECを無視していますが、グーグルはすでにDNSSECのチェックを始めている人の1人です。

Verisignは非常に便利な DNSSECチェックツール を提供します

状況を修正するには、

  1. 親ゾーンからドメインのDSレコードを削除します。

  2. ゾーンをDNSKEYで適切に署名します。これはDSレコードに対応します。 (Amazon Route 53 DNSSECをサポートしていません したがって、ゾーンを自分でホストするか、別のプロバイダーを使用する必要があります。)いずれの場合も、対応するキーを持っている場合にのみ実行できます。既存のDSに。

  3. 新しいDNSKEYでゾーンに署名し、現在のDSレコードを使用するDNKSEYに対応するレコードに置き換えます。 私のビデオガイドはこちら私が提携している独自のサービスを指します。)

2
Sandman4