Как работает публичный DNS?

Question

Как работает публичный DNS?

Если у меня есть небольшая корпоративная сеть с некоторыми веб-серверами и DNS с DNSSEC для подписания файла зоны. Я могу отредактировать файл зоны и настроить сопоставление (имя -> IP) в дополнение к любым другим сопоставлениям, например, записи TXT и т. Д., А затем подписать файл. Клиент, поддерживаемый DNSSEC, запрашивает DNS и получает записи, проверяет подпись и т. Д.

Если мои пользователи используют общедоступный DNS, такой как 8.8.8.8, как я могу настроить свои собственные записи TXT DNS? Является ли общедоступный DNS, такой как 8.8.8.8, DNS-сервером или просто преобразователем? Как общедоступный DNS работает именно для решения example.com который использует DNSSEC для аутентификации на своем DNS-сервере? у кого есть ключи подписи? example.com или общедоступный DNS?

1

dns domain domain-name domain-security google-public-dns

Источник

user9371654 29 июн '18 в 07:49

1 ответ

Решение

Другие вопросы по тегам dns domain domain-name domain-security google-public-dns

grawity 29 июн '18 в 13:14 2018-06-29 13:14 · Accepted Answer · 2018-06-29 13:14

Является ли общедоступный DNS, такой как 8.8.8.8, DNS-сервером или просто распознавателем?

Это просто распознаватель, как те, которые предоставляются провайдерами. Это ничего не меняет в том, как управляется ваш домен: записи по-прежнему хранятся в файле зоны на ваших "авторитетных" серверах, и вы подписываете зону своими собственными ключами.

Если мои пользователи используют общедоступный DNS, такой как 8.8.8.8, как я могу настроить свои собственные записи TXT DNS?

Вы не Поскольку 8.8.8.8 является распознавателем, он будет следовать цепочке делегаций (NS-записей) и получит записи с вашего собственного авторитетного сервера. (Точно так же, как разрешение других доменов, таких как "google.com"...)

Таким образом, если домен является общедоступным (приобретен у регистратора) и если ваш DNS-сервер общедоступен, то ничего не изменится.

Конечно, если домен не делегирован - например, если он находится под каким-то выдуманным TLD, например mycompany.lan - тогда общественные решатели не смогут увидеть это вообще. Так что не используйте вымышленные домены.

Как общедоступный DNS работает точно для разрешения example.com, который использует DNSSEC для аутентификации на своем DNS-сервере

Для регулярного поиска записей DNS, смотрите выше, и смотрите множество существующей документации. Короче говоря, распознаватель следует цепочке записей NS из корневой зоны, пока не найдет ваш собственный сервер.

Проверка DNSSEC очень похожа: в дополнение к записям NS (указывающим на следующий сервер) каждое делегирование также имеет записи DS (имеющие открытый ключ следующей зоны). Определитель или валидатор снова следует цепочке записей DS.