DNS 不仅仅为少数人解析 - 10 天后，甚至通过 Google DNS

Question

我有一个新网站，它的 DNS 条目 (thetunegame.com) 现在已有 10 天了，所以它应该已经正确传播了。

我已经让来自多个国家的 200 多人毫无问题地访问它，但是有 4 个人都来自希腊（尽管这可能是样本偏差），他们无法访问它。有人给我发了这张截图：

我知道这意味着他们的系统找不到 DNS 条目。我不是专家，这也不是我自己的系统，所以我的能力有限，但我已经确定：

1. 更改为谷歌DNS服务器（和做IPCONFIG / FLUSHDNS）并没有解决这个问题
2. 换网络确实可以解决
3. 并非所有 4 个人都在同一网络/ISP 上（因此这不是特定 ISP 的问题）
4. 更改浏览器并没有解决它（如果它是一个浏览器缓存的问题）

我的设置：

• 谷歌注册域名，指向 Cloudflare DNS
• Cloudflare 启用了 DNSSEC（以防万一）

我尝试过的事情：

• 要求有此问题的人做上述事情
• 通过几个在线工具测试 DNS 解析对我和世界各地的服务器是否正常（确实如此）
• 检查 Google 和 Cloudflare 之间的 DNSSEC 设置是否一致

我完全被困住了！我不明白 4 个人（不在同一个网络上）怎么看不到它，即使通过 Google DNS 服务器尝试也是如此。

我不知道还有什么要测试的，以防我的设置有问题。

有没有办法确认我的设置是正确的？

如果是，我还能要求这些人尝试什么？

Answer 1

检查 Google 和 Cloudflare 之间的 DNSSEC 设置是否一致

他们不是。您通过 Google 提交的委托指定了 RSA 密钥（算法 5），但 Cloudflare 的实际区域使用的是 ECDSA P-256 密钥（算法 13）。

您可以在DNSViz 中查看 DNSSEC 验证状态：原始扫描、最新扫描。

算法不匹配导致无法验证签名，因此使用验证解析器的人将收到 SERVFAIL 错误，而非验证解析器对域没有问题。Google 公共解析器 (8.8.8.8) 是一个验证器。

要解决此问题，请更改 Google 的 DNSSEC 设置以指定 ECDSA P-256 (13) 作为算法。您可能需要等待最多 24 小时才能让旧 DS 记录从缓存中过期。（DNSViz 将绕过缓存并更快地看到更改，但您必须单击“立即更新”以刷新图表。）

¹ （显示的 512 位密钥大小对于 EC P-256 密钥是正常的。）