Tham gia Đăng nhập
Điểm:2
Steve avatar Server

Xóa bản ghi RRSIG khỏi tên miền phụ của GoDaddy

lá cờ ph
Steve

Tôi đã thêm 4 mục nhập NS cho tên miền phụ cho chiến dịch email Lực lượng bán hàng.

SalesForce kể từ đó đã phàn nàn rằng họ thấy một "RRSIG mục nhập cho tên miền phụ" và chúng "không hỗ trợ (thêm vào NS) RRSIG records", và như vậy tôi cần xóa nó.

Tôi đã không thêm RRSIG mục - có vẻ như nó được tự động? Tôi không thấy nó trong giao diện GoDaddy hoặc trong tệp vùng. Tôi có thể loại bỏ nó?

Lực lượng bán hàng đã hướng dẫn tôi đến một công cụ web (xnnd.com) hiển thị bản ghi vi phạm (dòng cuối cùng)

email.example.com. 3600 TRONG NS ns4.exacttarget.com.
email.example.com. 3600 TRONG NS ns3.exacttarget.com.
email.example.com. 3600 TRONG NS ns2.exacttarget.com.
email.example.com. 3600 TRONG NS ns1.exacttarget.com.
email.example.com. 600 IN RRSIG NSEC 8 3 600 20220517140242 20220502140242.. (nhiều thứ...)

Nhận xét và hướng dẫn của Per anx DNSViz Tôi thấy lỗi này:

example.com đến email.example.com: (Các) máy chủ dành cho phụ huynh khu vực (example.com) đã trả lời bằng một lượt giới thiệu thay vì trả lời có thẩm quyền cho loại DS RR.

Tôi không chắc liệu đây có phải là bằng chứng của sự cố hay chỉ là dấu hiệu cho thấy chúng tôi đã ủy quyền quyền kiểm soát DNS cho miền phụ cho SalesForce. Vì vậy, vẫn chưa rõ vấn đề nằm ở đâu.

131
0 + 0
Điểm:3
Patrick Mevzek avatar Server
lá cờ cn
Patrick Mevzek

RRSIG là một chữ ký, liên quan đến DNSSEC. Nó không phải là một bản ghi "ẩn", nhưng nó không thể được chỉnh sửa như bất kỳ bản ghi nào khác.

Vùng của bạn được bật DNSSEC, vì ĐS bản ghi có thể cho biết và chẩn đoán DNSViz đầy đủ. Điều này được thực hiện bởi nhà cung cấp DNS của bạn, vì vậy đối với bất kỳ câu hỏi nào về nội dung của khu vực của bạn và nếu bạn không biết về DNSSEC, nhà cung cấp DNS của bạn sẽ là điểm liên hệ đầu tiên của bạn.

Nhưng sau đó, bạn ủy thác một phần vùng của mình cho một nhóm máy chủ định danh khác. Trong trường hợp đó, bạn nên có một hoặc nhiều ĐS bản ghi trong khu vực của bạn và tương ứng DNSKEY (các) bản ghi trong máy chủ định danh con. Rõ ràng đây không phải là trường hợp như DNSViz cho bạn biết vì nó không thể tìm nạp thông tin liên quan ĐS bản ghi do đó phá vỡ xác thực DNSSEC đầy đủ cho ít nhất một phần trong khu vực của bạn, một tình huống mà bạn không muốn xảy ra vì điều đó có nghĩa là đối với một số người dùng (và có thể là phần lớn vì trình phân giải DNS công cộng lớn nhất đang xác thực DNSSEC đầy đủ) họ sẽ không thấy phần đó của zone nào thì báo lỗi DNS như thể cái tên đó không tồn tại.

Giải pháp "dễ dàng" (hoặc ít nhất là nhanh chóng) là yêu cầu nhà cung cấp DNS hiện tại của bạn tắt DNSSEC trên vùng đầy đủ của bạn (điều này sẽ dẫn đến việc loại bỏ những "ẩn" đó RRSIG Hồ sơ). Nhưng bạn cũng mất một chút, vì DNSSEC cung cấp một số đảm bảo về tính toàn vẹn của các phản hồi mà khách hàng nhận được khi truy cập tài nguyên của bạn.

Thay vào đó, giải pháp thực sự sẽ là đến Salesforce và yêu cầu họ cung cấp một cách khác (không thực hiện ủy quyền và NS records) để đáp ứng bất kỳ dịch vụ nào bạn cần cho họ. Bằng cách đó, bạn có thể giữ cho vùng của mình được bật DNSSEC. Tuy nhiên, có một rủi ro lớn là yêu cầu này bị bỏ qua, vì trước tiên, bạn sẽ cần trải qua đủ các lớp hỗ trợ khách hàng trước khi tiếp cận một người nào đó hiểu về DNSSEC.

Đối với:

chỉ là một dấu hiệu cho thấy chúng tôi đã ủy quyền kiểm soát DNS cho miền phụ cho lực lượng bán hàng.

Sự hiện diện đơn thuần của NS bản ghi tại máy chủ định danh có thẩm quyền cho vùng của bạn là bằng chứng về quyền kiểm soát. Nếu điều đó được thực hiện chỉ để khẳng định bằng chứng thì cũng đủ tốt và chúng có thể bị loại bỏ. Nếu chúng là một phần của dịch vụ được cung cấp, như đã giải thích ở trên, thì bạn không thể có những vùng đó và vùng hỗ trợ DNSSEC cùng một lúc, do đó, vùng này sẽ là vùng này hoặc vùng kia chứ không phải cả hai.

0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
@anx Bởi vì bạn nghĩ rằng khách hàng cuối sẽ được tự do nhập bản ghi `NSEC` trong khu vực của họ? Tôi không biết bất kỳ nhà cung cấp DNS nào cung cấp dịch vụ đó, bạn có biết nhà cung cấp nào không? Do đó, mặc dù về mặt kỹ thuật có thể và dễ dàng nếu bạn tự quản lý vùng của mình trên máy chủ của mình, nhưng điều đó hoàn toàn không thực tế đối với 99,99% trường hợp, thậm chí còn hơn thế với nhà cung cấp DNS và nhà đăng ký "chung" và đối với một OP rõ ràng là không quen biết với DNSSEC...
2
Hồi đáp
anx avatar
lá cờ fr
anx
Ồ, tôi đã giả định một cách ngu ngốc bởi vì nó có thể và các phần khác có thể diễn ra tự động ít nhiều theo cách mà hầu hết khách hàng cần, điều này cũng vậy. Dang, bây giờ tôi có thể thấy làm thế nào mà chỉ còn lại hai tùy chọn mà bạn đề xuất.
0
Hồi đáp
Steve avatar
lá cờ ph
Steve
@Patrick Mevzek Tuyệt vời. Cảm ơn. Bây giờ tôi nhớ lại rằng chúng tôi đã có một cuộc kiểm tra bảo mật và những người kiểm tra đã yêu cầu chúng tôi kích hoạt `DNSSEC`. Vì vậy, bật `DNSSEC` tốt cho bảo mật nhưng lại làm phức tạp những thứ như ủy quyền tên miền phụ. Tôi cho rằng việc ủy ​​quyền đúng cách sẽ liên quan đến việc tạo khóa hoặc chữ ký hoặc thứ gì đó liên quan hơn là nhấp vào một tùy chọn hoặc điền vào một bản ghi đơn giản trong giao diện người dùng GoDaddy? Salesforce đã nói rằng nếu chúng tôi không thể xóa mục nhập `RRSIG`, chúng tôi có thể bỏ qua ủy quyền và tôi trực tiếp thực hiện các mục nhập bắt buộc của họ.
1
Hồi đáp
user1686 avatar
lá cờ fr
user1686
@Steve: Tên miền đã ký _is_ được phép thực hiện ủy quyền chưa ký, không có vấn đề gì với điều đó. Bạn chỉ cần thêm các bản ghi NS thông thường, không có bất kỳ bản ghi DS nào bên cạnh và trình xác thực DNSSEC sẽ không phàn nàn; họ sẽ chỉ chấp nhận vùng con là không được ký có chủ ý (bản ghi NSEC cho phép người xác thực biết đó không phải là một cuộc tấn công tước dnssec hay bất cứ điều gì). Theo như tôi hiểu, "vấn đề" về việc có hồ sơ RRSIG hoàn toàn do Lực lượng bán hàng tạo ra và không có cơ sở kỹ thuật nào cho khiếu nại của họ.
1
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
@user1686 100% đồng ý về ""vấn đề" về việc có bản ghi RRSIG hoàn toàn do Lực lượng bán hàng tạo ra và không có cơ sở kỹ thuật nào cho khiếu nại của họ." ngoại trừ điều đó, về mặt kỹ thuật, như DNSViz báo cáo, tình hình hiện tại bị hỏng do cách máy chủ tên hiện tại trả lời bản ghi `DS` trên tên được ủy quyền. Vì vậy, mọi thứ có thể được thực hiện nhưng không nhất thiết phải ở nhà cung cấp hiện tại với trường hợp ủy quyền hiện tại.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.