înregistrare Logare
Puncte:2
Steve avatar Server

Eliminați înregistrarea RRSIG din subdomeniul GoDaddy

drapel ph
Steve

Am adăugat 4 intrări NS pentru un subdomeniu pentru o campanie de e-mail SalesForce.

SalesForce s-a plâns de atunci că văd un „RRSIG intrare pentru subdomeniu” și „nu acceptă (adăugați la NS) RRSIG înregistrări”, și, ca atare, trebuie să-l elimin.

Nu am adăugat RRSIG intrare - pare automată? Nu îl văd în interfața GoDaddy sau în fișierul de zonă. O pot elimina?

SalesForce m-a îndrumat către un instrument web (xnnd.com) care arată înregistrarea infracțiunii (ultima linie)

email.example.com. 3600 ÎN NS ns4.exacttarget.com.
email.example.com. 3600 ÎN NS ns3.exacttarget.com.
email.example.com. 3600 ÎN NS ns2.exacttarget.com.
email.example.com. 3600 ÎN NS ns1.exacttarget.com.
email.example.com. 600 IN RRSIG NSEC 8 3 600 20220517140242 20220502140242.. (gâmâi de chestii...)

Comentariile lui Per anx și direcția către DNSViz Vad aceasta eroare:

example.com to email.example.com: serverul(e) pentru părinte zone (example.com) a răspuns cu o recomandare în loc să răspundă cu autoritate pentru tipul DS RR.

Nu sunt sigur dacă aceasta este o dovadă a unei probleme sau doar un indicator că am delegat controlul DNS pentru subdomeniu SalesForce. Deci încă neclar unde se află problema.

131
0 + 0
Puncte:3
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

RRSIG este o semnătură, legată de DNSSEC. Nu este o înregistrare „ascunsă”, dar nu poate fi editată ca orice altă înregistrare.

Zona dvs. este activată DNSSEC, deoarece DS înregistrarea poate spune, și diagnosticul complet DNSViz. Acest lucru este făcut de furnizorul dvs. de DNS, așa că pentru orice întrebare despre conținutul zonei dvs. și, dacă nu cunoașteți DNSSEC, furnizorul dvs. de DNS ar trebui să fie primul dvs. punct de contact.

Dar apoi delegi o parte din zona ta unui alt set de servere de nume. În acest caz, ar trebui să aveți unul sau mai multe DS înregistrările din zona dumneavoastră și cele corespunzătoare DNSKEY înregistrare(e) în serverele de nume copii. Ceea ce, evident, nu este cazul, așa cum vă spune DNSViz, deoarece nu poate prelua datele relevante. DS record, prin urmare, întreruperea completă a validării DNSSEC pentru cel puțin o parte a zonei dvs., o situație în care nu doriți să fiți, deoarece asta înseamnă că pentru unii utilizatori (și probabil majoritatea deoarece cei mai mari rezolutori DNS publici validează complet DNSSEC) nu o vor face. vezi acea parte a zonei, vor primi o eroare DNS ca și cum numele nu ar exista.

Soluția „ușoară” (sau cel puțin rapidă) ar fi să ceri furnizorului tău actual de DNS să dezactiveze DNSSEC în zona ta completă (ceea ce va avea drept consecință eliminarea celor „ascunse” RRSIG înregistrări). Dar pierdeți și puțin, deoarece DNSSEC oferă unele garanții cu privire la integritatea răspunsurilor primite de clienți atunci când vă accesează resursele.

Soluția reală ar fi în schimb să mergi la Salesforce și să le ceri să ofere o altă cale (fără a face o delegare și NS înregistrări) pentru a îndeplini orice serviciu de care aveți nevoie pentru ei. În acest fel, vă puteți păstra zona DNSSEC activată. Cu toate acestea, există un risc mare ca această solicitare să vină în urechi surde, deoarece mai întâi va trebui să parcurgeți suficiente straturi de asistență pentru clienți înainte de a ajunge la cineva care înțelege DNSSEC.

Cât despre:

doar un indicator că am delegat controlul DNS pentru subdomeniu către forța de vânzări.

Simpla prezență a NS înregistrările la serverele de nume autorizate pentru zona dvs. este o dovadă de control. Dacă acest lucru este făcut doar pentru a afirma dovezi, este suficient de bun și pot fi eliminate. Dacă fac parte din serviciul furnizat, așa cum s-a explicat mai sus, nu le puteți avea în același timp pe acelea și o zonă activată DNSSEC, deci va fi unul sau altul, nu ambele.

0 + 0
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
@anx Pentru că credeți că acel client final ar fi liber să introducă înregistrarea `NSEC` în zona sa? Nu cunosc niciun furnizor DNS care să ofere asta, cunoașteți unul? Prin urmare, deși este posibil și ușor din punct de vedere tehnic, dacă vă gestionați singur zona pe serverele dvs., se pare complet nerealist pentru 99,99% din cazuri, cu atât mai mult cu un registrator „generic” și un furnizor DNS și pentru un OP care, evident, nu este bine familiarizat. cu DNSSEC...
2
Răspunde
anx avatar
drapel fr
anx
Oh, am presupus în mod prostește pentru că posibilele sale și alte părți se pot întâmpla automat mai mult sau mai puțin în modul în care au nevoie majoritatea clienților, la fel și asta. Dang, pot vedea acum cum rămân doar cele două opțiuni pe care le-ai sugerat.
0
Răspunde
Steve avatar
drapel ph
Steve
@Patrick Mevzek Grozav. Mulțumiri. Îmi amintesc acum că am avut un audit de securitate și auditorii ne-au pus să activăm `DNSSEC`. Deci, activarea `DNSSEC` este bună pentru securitate, dar complică lucruri precum delegarea unui subdomeniu. Pentru a delega corect ar implica generarea de chei sau semnături sau ceva care este mai implicat decât să dai clic pe o opțiune sau să completezi o înregistrare simplă în interfața de utilizare GoDaddy, presupun? Salesforce a spus că dacă nu putem elimina intrarea „RRSIG” am putea sări peste delegare și le fac direct intrările necesare.
1
Răspunde
user1686 avatar
drapel fr
user1686
@Steve: Un domeniu semnat _este_ permis să facă o delegație nesemnată, nu este nicio problemă cu asta. Doar adăugați înregistrările NS obișnuite, fără înregistrări DS alături, iar validatorii DNSSEC nu se vor plânge; ei vor accepta doar zona copil ca fiind nesemnată în mod deliberat (înregistrarea NSEC le permite validatorilor să știe că nu este un atac de stripare dnssec sau altceva). Din câte am înțeles, „problema” de a avea înregistrări RRSIG este soluționată în întregime de SalesForce și nu există nicio bază tehnică pentru reclamația lor.
1
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
@user1686 100% sunt de acord cu „problema” de a avea înregistrări RRSIG este în întregime creată de SalesForce și nu există nicio bază tehnică pentru reclamația lor.” cu excepția faptului că, din punct de vedere tehnic, așa cum raportează DNSViz, situația actuală este întreruptă din cauza modului în care serverele de nume actuale răspund pentru o înregistrare `DS` asupra numelui delegat. Deci lucrurile s-ar putea face să funcționeze, dar nu neapărat la furnizorul actual cu cazul actual de delegare.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.