cc-TLD 不支持 IPv6 和 DNSSEC?(实际影响)
Old*_*her 7 domain-name-system ipv6 dnssec ipv4 tld
我需要注册一些具有国家/地区代码域扩展名的域,但注意到这些 TLD 不正式支持 (A) IPv6 或 (B) DNSSEC...因此我应该会遇到哪些限制或陷阱?
(A) TLD 不支持 IPv6
我知道这意味着我将无法向域添加 AAAA 记录,但这对于其他支持 IPv6 的 DNS 服务器的可达性/兼容性/可见性意味着什么?
(B) 没有对 TLD 的 DNSSEC 支持
我知道 DNSSEC 在某种程度上对于验证 DNS 解析很重要,但不知道它的实施(或缺乏实施)是否/如何影响我作为应用程序开发人员在安全方面的影响。
注意:请原谅一个被宠坏的 LAMP、MEAN、前端和原生移动开发人员提出的这个潜在的基本问题,他们很少需要围绕上述问题做出网络架构决策。提前致谢!
Cal*_*ahl 10
如果 ccTLD 的名称服务器没有 IPv6 地址,则仅使用 IPv6 的用户可能无法解析该 TLD 下的任何名称,即使这些名称位于 IPv6 主管区域中。解析遵循从根开始的链条,如果一个链接不起作用,整个事情就会失败。
DNSSEC 提供 DNS 数据的加密身份验证。与 DNS 中的所有内容一样,它遵循从根区域开始的普通树。再一次,如果一个链接不起作用,整个链条就会失效。因此,一个国家代码顶级域名下的任何名字,不这样做DNSSEC将很容易受到欺骗(注:有是用于侧步在这种情况下,所谓的DLV链的技术它,然而,废弃,ICANN的支持,这将结束。 2017 年)。
我会考虑使用更好的 TLD :-)
- 为了回答我之前的评论,以下是赞助组织及其各自技术和管理联系方式的来源:http://www.iana.org/domains/root/db (2认同)
- 最常用的 DLV 服务器由 ISC 运行,而不是由 ICANN 运行 - 这是 2017 年关闭的服务器 - https://dlv.isc.org/ (2认同)
AAAA 记录可以由 IPv4 和 IPv6 解析器传递。您可以将 IPv6 地址添加到您的域中,它们将被传送。仅使用 IPv6 解析器的人(我认为这种情况相对较少)在任何情况下都无法解析您的域。
DNSSEC 的标准解决方法是使用 DLV(DNSSEC 后备验证)。这已经使用了很长时间,并且长期以来一直是验证许多 TLD 的唯一方法。随着 TLD 提供商添加 DNSSEC 支持,这些 TLD 的 DLV 要求将消失。
IPv6 和 DNSSEC 的整体采用非常缓慢。我在哪里,我仍然需要一个 IPv4 隧道来获得 IPv6 连接。
如果 TLD 不支持AAAA名称服务器地址的记录,这并不意味着您不能拥有AAAA基础服务的记录,这只是意味着人们将无法使用 IPv6作为 DNS 协议本身来查找您的服务地址。
这是一个完全正常的配置(参见BCP 91 又名 RFC 3901)只在域注册表中列出仅 IPv4 的名称服务器,这些名称服务器发布AAAA域内条目的记录。在这一点上,这不会破坏任何东西——仅 IPv6 的连接(没有 NAT64)几乎无法使用。
对于 DNSSEC,大多数 ccTLD 已经支持它,而那些没有多少计划这样做或已经处于实施中期的 ccTLD,尽管非洲是主要关注的领域。几天前的最新ISOC 地图显示了这一点:
- Alnitak 是一位已发布的 Smart DNS Person™(与我不同),因此如果您要对此投反对票,请发表评论。[BCP91](https://tools.ietf.org/html/rfc3901) 建议反对仅使用 IPv6 的名称服务器,并且“这是一个完全正常的配置”声明是 100% 准确的。 (3认同)
| 归档时间: |
|
| 查看次数: |
647 次 |
| 最近记录: |