Назад | Перейти на главную страницу

Не удается разрешить веб-сайт, использующий общедоступный DNS-адрес Google

Кажется, я не могу получить доступ к своему сайту: yippie.nl, используя общедоступный DNS Google 8.8.8.8. Другие DNS работают нормально.

Может ли это быть из-за DNSKEY? Причина Route53 не предоставляет этого.

http://dnscheck.pingdom.com/?domain=yippie.nl показывает:

Несогласованная безопасность для yippie.nl - DS найден у родительского, но DNSKEY не найден у дочернего.

У родителя есть безопасное делегирование дочернему элементу (обозначенное DS RRset у родителя), но у дочернего элемента нет DNSKEY. Вероятно, это связано с тем, что ранее подписанная зона стала неподписанной без запроса родительского элемента на удаление безопасного делегирования.

Это единственное, что я смог найти.

Когда я копаю + трассирую + добавляю yippie.nl, я получаю полную информацию: Концы:

yippie.nl.      300 IN  A   94.75.224.2

Есть идеи, в чем может быть проблема?

Большое спасибо!

У вашего домена есть DS запись (в родительской зоне):

dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl.      7181    IN  DS  47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1

, и не DNSKEY запись:

dig yippie.nl DNSKEY
(no answer section)

И он не подписан с помощью DNSSEC (нет записей RRSIG).

Общедоступный DNS Google проверяет DNSSEC, и, поскольку ваш домен утверждает, что имеет DNSSEC (запись DS), но на самом деле не подписан, любой распознаватель с поддержкой DNSSEC считает это подделкой. Большинство преобразователей DNS сегодня по-прежнему игнорируют DNSSEC, но Google - один из тех, кто уже начал проверять DNSSEC.

Verisign предоставляет очень удобный Инструмент проверки DNSSEC

Чтобы исправить ситуацию, либо

  1. Удалить DS запись для вашего домена из родительской зоны.

  2. Сделайте зону правильно подписанной с помощью DNSKEY что соответствует DS запись у вас уже есть. (Амазонский маршрут 53 не поддерживает DNSSEC таким образом, вам придется либо разместить зону самостоятельно, либо использовать другого провайдера.) В любом случае вы можете сделать это, только если у вас есть ключ, соответствующий существующему DS.

  3. Подпишите зону новым DNSKEY и замените текущую запись DS на ту, которая соответствует используемому DNKSEY. Видеть мой видеогид здесь (относится к проприетарной службе, с которой я связан.)