Não é possível resolver o site usando o DNS público do Google

4

Parece que não consigo acessar meu site: yippie.nl, usando o DNS público do Google 8.8.8.8. Outros DNSs funcionam bem.

Isso pode ser devido ao DNSKEY? Causa Route53 não fornece isso.

link mostra:

Inconsistent security for yippie.nl - DS found at parent, but no DNSKEY found at child.

The parent has a secure delegation to the child (indicated by DS RRset at the parent), but the child has no DNSKEY. This is probably due to a previously signed zone that became unsigned without requesting the parent to remove the secure delegation.

Essa é a única coisa que eu consegui encontrar.

Quando eu faço dig + trace + add yippie.nl eu entendo tudo: Termina:

yippie.nl.      300 IN  A   94.75.224.2

Alguma ideia do que poderia ser o problema?

Muito obrigado!

    
por Maurice Kroon 07.01.2014 / 14:43

1 resposta

2

Seu domínio tem o registro DS (em sua zona pai):

dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl.      7181    IN  DS  47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1

e não tem o registro DNSKEY :

dig yippie.nl DNSKEY
(no answer section)

E não é assinado com o DNSSEC (nenhum registro RRSIG).

O DNS público do Google verifica o DNSSEC e, como seu domínio afirma ter DNSSEC (registro do DS), mas realmente não está assinado, qualquer resolvedor com reconhecimento de DNSSEC considera isso falso. Atualmente, a maioria dos resolvedores de DNS ainda ignora o DNSSEC, mas o Google é um dos que já começaram a verificar o DNSSEC.

A Verisign fornece uma ferramenta de verificação DNSSEC muito útil

Para corrigir a situação,

  1. Remova o registro DS do seu domínio da zona pai.

  2. Faça a zona devidamente assinada com DNSKEY que corresponde ao registro DS você já tem. (O Amazon Route 53 não suporta DNSSEC , assim você terá que hospedar a zona por conta própria ou usar outro provedor.) Em qualquer caso, você pode fazer isso apenas se possuir uma chave que corresponda ao DS existente.

  3. Assinar a zona com um novo DNSKEY e substituir o registro DS antigo por aquele que corresponde ao DNKSEY que você usa. Consulte meu guia em vídeo aqui ( refere-se a um serviço proprietário ao qual sou afiliado .)

por 07.01.2014 / 15:21