在孩子身上找到DNSKEY,但在父母身上找不到DS.
Check for DS records in parent zone
We found that none of your DNSKEY records are published at parent. All KSKs (Key Signing Keys) should have a corresponding DS record containing the digest of the key at the parent zone.
Recommendation
Publish DS records for all your DNSKEY (KSK) records in parent DNS zone. This will establish a chain of trust from the parent to your zone.
谁知道问题可能是什么?
我使用webmin进行BIND配置,它有一个名为dnssec验证的选项,我认为它是通过https://dlv.isc.org/完成的.
我为此做了一个截图:
解决方法
验证DNSSEC签名数据需要:
>从根区域到您自己的完整信任链,或
>为您的区域配置特定的“信任锚”
在大多数情况下,现在根目录已经签名,前者是首选.您的区域中有DNSKEY,您应该向父区域管理员提交DS记录.然后他们用自己的密钥签署该记录,同样他们自己的DS记录也会被发送到他们的父区域,这可能是根区域.
但是,这确实要求域和根之间的每个DNS级别都具有DNSSEC.
你的域名是什么?您的父域很可能还不支持DNSSEC.
如果他们不这样做,那么下一个最佳选择是将您的DS记录提交给ISC的“DLV”存储库.这是一个受到良好支持的DNS功能,它允许为尚未拥有完全安全信任链的域的安全分发信任锚,一直到“根”.添加您的记录将允许其他人验证您的域名.
EDIT ISC的DLV不再运行.
