标签: dnssec

我们正在尝试决定使用哪种DNS托管解决方案.今天我们使用Power DNS,我们希望转向托管DNS解决方案.对我们来说,最好的解决方案是使用亚马逊的route53.我们被要求使用DNS-SEC作为我们的DNS解决方案,我一直在努力了解亚马逊的DNS支持以及它不支持的内容.

亚马逊的网站说:

Amazon Route 53支持DNSSEC进行域名注册,但不支持DNSSEC进行DNS服务.如果要为在Amazon Route 53中注册的域配置DNSSEC,则必须使用其他DNS服务提供商.

http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html

有谁能解释这意味着什么？特别是对于使用route53注册的域使用另一个DNS服务提供商的内容,支持什么以及什么不是什么.

我正在尝试进行RRSIG验证,我正在尝试在PHP中使用openssl lib.但我有一个问题是将公钥传递给该openssl_verify函数.

这是一个基本代码,使用Net/DNS2库通过DNSSEC选项执行DNS查询.并获得DNSKEY和RRSIG.

<?php

require_once 'Net/DNS2.php';

$r = new Net_DNS2_Resolver(array('nameservers' => array('127.0.0.1')));
$r->dnssec = true;

try {
        $result = $r->query('ip4afrika.nl', 'DNSKEY');

} catch(Net_DNS2_Exception $e) {

        echo "::query() failed: ", $e->getMessage(), "\n";
        die(); // 
}

// print_r($result->answer);

$public_key_bin = base64_decode( $result->answer[0]->key ) ;
$public_key_str = $result->answer[0]->key; //echo $public_key_str; die();
// $public_key_res = openssl_x509_parse($public_key_bin);
$public_key_res = openssl_x509_read($public_key_str);
// $public_key_res = openssl_pkey_get_public($public_key_str);

while ($msg = openssl_error_string()) echo $msg . PHP_EOL;

我收到此错误消息,

使用时:

$public_key_res = openssl_x509_read($public_key_str);

 PHP Warning:  openssl_x509_read(): supplied …

如何在Java中编写使用DANE(基于DNS的命名实体身份验证)的X509TrustManager？

有样品或图书馆吗？或者Java是否支持DANE？

正如标题所示,我想以编程方式检查域的DNS响应是否受DNSSEC保护.
我怎么能这样做？

如果有一个pythonic解决方案,这将是伟大的.

更新:更改请求响应,抱歉混淆

我已经尝试了很长时间，以便在Google上验证DNSSEC，但是每次尝试获取它时，都会遇到一些错误。例如，当我尝试使用Google.com时。服务器没有向我发送消息，或者代码出现问题。

实际上，我尝试了以下主题：以 编程方式检查域是否受DNSSEC保护

以及dnsknife模块的创建者示例。 https://pypi.org/project/dnsknife/

如何使用python工具获取此DNSSEC？

我正在使用Mac OS X 10.10.3 Yosemite。最近从雪豹（10.6.8）升级到优胜美地。

步骤-A：在MacBook中，我登录到具有Admin类型的特权帐户，并从Apple App Store安装了最新的免费“ Xcode”。通过使用Xcode，添加了“命令行工具”等。

步骤B：
从http s：// brew.sh /网站安装Homebrew 。从Homebrew网站复制粘贴到终端中的命令行代码下面：
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
进程/脚本上方检查是否存在各种必要的软件和设置，并显示（需要在“终端”窗口中查看信息和状态），还需要其他什么命令或工具。获得或执行，我跟随那些。

步骤-C：
当“自制”及相关的安装步骤都完成后，再装为“OpenSSL”和使用“酿造”工具“绑定”，通过命令行终端：
• brew help
• brew update
• brew install unbound openssl
• sudo cp -fv /usr/local/opt/unbound/*.plist /Library/LaunchDaemons
• sudo chown root /Library/LaunchDaemons/homebrew.mxcl.unbound.plist
• sudo launchctl load -w /Library/LaunchDaemons/homebrew.mxcl.unbound.plist
• brew upgrade --all

步骤D：
重新启动MacBook，然后在“ dig ”命令下尝试，并且在dns查询结果中未显示“ ad”标志，这表明DNSSEC身份验证的DNS解析仍无法正常工作并被禁用！

dig @127.0.0.1 in TLSA _443._tcp.www.dnssec-validator.cz. +dnssec
dig @127.0.0.1 in TLSA _443._tcp.www.isc.org. +dnssec
dig @192.168.10.1 in TLSA _443._tcp.www.dnssec-validator.cz. …

我正在构建一些 Web 分析工具，但在检查 NodeJS 应用程序中的 DNSSEC 合规性时遇到一些困难。dns标准库中的模块似乎不接受任何 DNSSEC 记录类型。我正在尝试查找rrsig, ds, nsec，nsec3但文档没有将它们列为要解析的有效 rrtypes。用 NodeJS 可以做到这一点吗？

我刚刚了解到域名系统安全扩展 (DNSSEC)，它听起来与 DNS-over-HTTPS (DoH) 和 DNS-over-TLS 的概念非常相似：在 DNS 查找中添加隐私和安全性。

这些协议之间的主要区别是什么？他们竞争/服务于相同的目标吗？

I followed the tutorial for DNSSEC found in https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2

Here is my zone file:

$ORIGIN .
$TTL 86400      ; 1 day
example.net       IN SOA  ns1.example.net. root.mailserver.net. (
                                2016091915 ; serial
                                43200      ; refresh (12 hours)
                                300        ; retry (5 minutes)
                                1209600    ; expire (2 weeks)
                                86400      ; minimum (1 day)
                                )
                        NS      ns1.example.net.
                        NS      ns2.example.net.
$TTL 60 ; 1 minute
                        A       ...
$TTL 86400      ; 1 day
                        TXT     ...
                        DNSKEY  256 3 7 ...
                        DNSKEY  257 3 7...
$ORIGIN example.net. …