问题标签 [dnssec]

我一直在尝试在 Google 上验证 DNSSEC，但每次尝试获取它时，都会遇到一些错误。例如，当我在 Google.com 上尝试时。服务器没有给我发回消息，或者我的代码有问题。

实际上我尝试了这个主题： 以编程方式检查域是否受 DNSSEC 保护

以及带有创建者示例的 dnsknife 模块。 https://pypi.org/project/dnsknife/

如何使用 python 工具获取这个 DNSSEC？

Firebase 上托管的应用是否支持 DNSSEC？根据这 2 份报告，不是：

1. https://viewdns.info/dnssec/?domain=firebaseapp.com

2. https://viewdns.info/dnssec/?domain=web.app

我得到了这个白色的实验室。它有自己的顶级域 (TLD) 名称whitelab.，并使用 ISC Bind9 9.15。

这使得在内部推出许多网络测试场景成为可能。

一个 DNSSEC 是如何签署这个定制的 TLD 的，这样它不仅可以在绑定whitelab视图/网络中提供安全的 DNS 查找，而且在白实验室之外的 DNSSEC 解析域名时恢复到 ISC 根密钥？显然，ICANN 不会添加这个whitelabTLD 供全世界使用（我们也不想这样做）。

一些基本的 ISC Bind9 v9.15 设置：

在非 Internet（本地/whitelab）绑定视图中推出上述配置导致破坏了 Internet 范围绑定视图的 DNSSEC。

密钥是通过执行以下操作创建的：

这种“受信任的密钥”方法是否正确？

因此，阅读文献和教程 DNSSEC 是相当简单的。我签署一个区域并将 DS 记录交给父区域，在基本教程中，父区域是您的注册商，从而完成了链。

我想更进一步，能够委派不同的子域。我的理解是这些子域必须签署他们的区域，然后给它的父区域 DS 记录。我的问题是，每当子域签署其区域时，我是否需要获取这些 DS 记录并更新父区域，然后再退出父区域等等，直到我进入链上？

例如这是我目前的理解：

1. 我注册了一个域名example.com
2. 我委托了一个区域production.example.com。我签署该区域并将 DS 记录提供给example.com
3. 在以后的某个日期，我在production.example.com中委派了一个名为service1.production.example.com的区域。我签署service1.production.example.com然后将 DS 记录传递给production.example.com。然后我辞职production.example.com将其新的 DS 记录传递给example.com。

这是正确的解释吗？

一年前我买了一个域名magicescape.es。问题是这个域名有DS记录，但是我没有添加，无法删除或更改。对于 .es 域，DNSSEC 不支持。我花了很多时间在 Godaddy 的支持下，最后一个答案是“我们无法帮助您处理 DS 记录，因为我们没有看到它。您应该要求旧网站托管删除所有与该网站内容相关的内容”。但是它如何影响具有不同 NS 记录的域名呢？我可以在这里看到 DS 记录dns-analyzer。有没有办法从这个特定的 DS 记录中找到位置？

我对TLS 1.3 协议的理解是，客户端通过检查服务器发送的证书中的公钥来对服务器进行身份验证。在客户端连接之前，操作系统通常必须对服务器的域进行 DNS 查找，以了解客户端应该连接到哪个地址。

如果已知操作系统使用 DNSSEC 而不是普通 DNS 来查找服务器的域，并且如果 DNSSEC 返回服务器的公钥以及服务器的域和地址（或者说整个证书）以供操作系统缓存，那么服务器就没有必要在 TLS 握手期间提供其证书，因为客户端可以从操作系统缓存的 DNS 数据中获取它，对吗？

我刚刚被介绍到域名系统安全扩展 (DNSSEC)，它听起来与 DNS-over-HTTPS (DoH) 和 DNS-over-TLS 的概念非常相似：将隐私和安全性添加到 DNS 查找中。

这些协议之间的主要区别是什么？他们是否竞争/服务于相同的目标？

我正在 Google Cloud DNS 中查找 DNSSEC 值（密钥标记、算法、摘要类型和摘要），以便我可以在 Google Domains 中为我的域创建 DS 记录。

我在摆弄 DNSSEC，我想尝试验证dnssec-signzonefrom生成的 NSEC3 记录bind9-utils（我认为它是有效的）。这是我的区域文件：

ZSK 和 KSK 是用dnssec-keygen -a ECDSAP256SHA256 dnssectest.mvolfik.tk.（-f KSK分别添加）生成的

然后我使用命令对其进行签名dnssec-signzone -3 deadbeef -H 5 -o dnssectest.mvolfik.tk -k ksk.key zonefile zsk.key（使用带有deadbeef十六进制盐的 NSEC3，5 次迭代）

我在以下 NSEC3 记录中得到了zonefile.signed：（忽略 RRSIG 和 DNSKEY 无关；A 和 SOA 没有改变）

现在我知道这个区域中唯一的域是s3c.dnssectest.mvolfik.tk.and dnssectest.mvolfik.tk.，我假设下面的 Python 脚本会得到与上面的符号区域文件中相同的哈希值：（来自RFC 5155中的伪代码）

但是，我得到了b58374998347ba833ab33f15332829a589a80d82and 545e01397a776ee73aa0372aea015408cc384574。我究竟做错了什么？

我正在编写一个脚本来使用 dnspython 验证 rrsigs，但我的代码有问题。以下是一个片段及其随附的错误消息：

错误信息。