由于 QUIC 基于 UDP，以下条目是否正确？

dsfromkey 命令生成具有以下摘要类型 DSA/SHA1、RSA/SHA-1、DSA-NSEC3-SHA1、RSA/SHA-512、GOST R 34.10-2001 等的 ds 记录

我正在使用以下命令

dnssec-dsfromkey - 一个密钥文件

例如：

dnssec-dsfromkey -a GOST 密钥文件

但它的表现

dnssec-dsfromkey：致命：未知算法 GOST

我正在使用绑定版本 BIND 9.9.4-RedHat-9.9.4-61.el7_5.1

任何帮助将不胜感激。

请帮助我澄清我的疑问，

我对 DNSSEC 密钥翻转有疑问。

如果有任何具体原因在一段时间内辞职每个域？

如果它被辞职并重新生成 KSK 和 ZSK，我是否需要在注册商端更新新的 DS 记录？

在 DNSSEC 辞职过程之后需要做哪些事情？

谢谢。

我想知道来自 SRV 记录查找的数据的可信度如何？如果有人能够欺骗 SRV 响应，我有一个程序基本上可能会崩溃。

如果没有，是否可以采取任何预防措施使其值得信赖？

为了启用 DNSSEC，是否需要将域名服务器设置为域名注册商？

我想启用 DNSSEC，但我的域注册商不允许我这样做，除非名称服务器设置为他们的。问题是我正在使用 Cloudflare，而名称服务器指向的是 Cloudflare。

模型：

我在提供商 subreg.cz 中注册了我的域，并且他具有 DNSSEC 的能力。我使用 AWS 名称服务器将域指向 AWS Route 53。尝试在 DNS 记录上设置 DNSSEC。没有任何成功。

我为什么要这样做？

我有 AWS Cloudfront 上的域别名并提供证书。

我想为此别名启用 DNSSEC，但不知道什么是最好的方法，而不会失去证书的可能性。

能否请您分享您的建议，我该如何解决？

这是我的场景：我在 GCP (https) 上构建了一个 LB。静态保留 IP DNSSEC 设置为 DNS A 和 CNAME 记录 4 个 Web 服务器位于 LB 后端前端设置为 https 时，通过 IP 时，LB 工作并且站点出现。通过 DNS 名称时，该站点在美国无法使用，但是如果我在另一个国家/地区使用 VPN，它可以使用。

如果您看这里，您可以看到 DNS 如何在某些国家/地区传播，而在其他国家/地区则不然： https ://dnschecker.org/

如果我使用 Google DNS Checker，我会收到 DNSSEC 错误： https ://dns.google.com/

我尝试使用自签名证书和谷歌管理证书，仍然是同样的问题。

我什至尝试用新的 EXT IP 完全重建 LB。任何想法，将不胜感激。谢谢

我在我的权威 DNS 服务器上配置了一个新区域（IDN 域），但它不起作用，当我尝试使用 DIG 命令进行故障排除时，我收到“SERVFAIL”

dig.exe @8.8.8.8 xn--mgba6g.xn--ngbsg9e

; <<>> DiG 9.12.3 <<>> @8.8.8.8 xn----zmcaaaqc9f5a4icedb.xn--mgberp4a5d4ar a ; （找到 1 个服务器）；；全局选项：+cmd ;; 得到答案：;; ->>HEADER<<- 操作码：QUERY，状态：SERVFAIL，id：64359 ;; 标志：qr rd ra；查询：1，答案：0，权限：0，附加：1

但是当我添加 +trace 选项时它工作正常！

dig.exe @8.8.8.8 xn--mgba6g.xn--ngbsg9e a +trace

我知道这个选项会从根目录迭代到我的身份验证。DNS，但为什么正常解析不起作用，我没有使用我正在尝试从所有已知的 DNS （如谷歌（8.8.8.8））的解析器

我正在 python 上编写 DNS 服务器，目前使用 DNSSEC 的 DNSKEY 资源记录。根据RFC5702 RSA/SHA256 关键组件是：

使用此示例，我试图通过解码 base64 示例值来获取原始键值：

在此之后，我获得了构造 RSA 密钥所需的所有值：

但是收到一个错误：

ValueError：RSA 因子与模数不匹配

我究竟做错了什么？似乎 RSA/SHA 密钥生成几乎没有记录，或者我无法找到完整的文档。很高兴得到任何帮助。

我想知道为什么 NSEC3 记录应该包含盐？我无法想象解析器为什么以及如何使用盐？