Добавление записи DS к родительскому в DNS
Я пытаюсь настроить DNSSEC для своих доменов. Кажется, все работает, но появляется следующая ошибка:
DNSKEY найден у дочернего элемента, но DS не найден у родительского.
Проверить наличие записей DS в родительской зоне
Мы обнаружили, что ни одна из ваших записей DNSKEY не публикуется в родительском. Все KSK (ключи подписи ключей) должны иметь соответствующую запись DS, содержащую дайджест ключа в родительской зоне.
Рекомендация
Опубликуйте записи DS для всех записей DNSKEY (KSK) в родительской зоне DNS. Это установит цепочку доверия от родителей к вашей зоне.
Кто-нибудь знает, в чем может быть проблема?
Я использую webmin для своей конфигурации BIND, и у него есть опция проверки dnssec, и я думаю, что это делается через https://dlv.isc.org/.
Я сделал для этого скриншот:
Проблема именно в цитируемом тексте.
Для проверки данных, подписанных DNSSEC, необходимо:
- полная цепочка доверия от корневой зоны до вашей собственной, или
- конфигурация конкретного «якоря доверия» для вашей зоны
В большинстве случаев, когда корень действительно подписан, предпочтительнее первое. У тебя есть DNSKEY в вашей зоне, и вы должны отправить DS запись для администраторов родительской зоны. Затем они подписывают эту запись своим собственным ключом, а также своим собственным ключом. DS записи отправляются в их родительскую зону, которая может быть корневой.
Однако для этого требуется, чтобы каждый уровень DNS между вашим доменом и корнем также имел DNSSEC.
Какой у вас домен? Вполне возможно, что ваш родительский домен еще не поддерживает DNSSEC.
Если они этого не делают, то следующий лучший вариант - отправить запись DS в репозиторий ISC «DLV». Это хорошо поддерживаемая функция DNS, которая обеспечивает безопасное распределение якорей доверия для доменов, которые еще не имеют полностью безопасной цепочки доверия на всем пути до «корня». Добавление вашей записи позволит другие люди для проверки вашего доменного имени.
РЕДАКТИРОВАТЬ DLV ISC больше не работает.