共计 1149 个字符,预计需要花费 3 分钟才能阅读完成。
如果将域名添加到 EO DNS 上并开启 DNSSEC,并且为某一子域添加 NS 记录,比如
foobar.example.com. 3600 IN NS foobarns1.example.com.
foobar.example.com. 3600 IN NS foobarns2.example.com.
那么你会发现,foobar.example.com 下的子域名,比如 test.foobar.example.com 会无法解析。这是因为 EO DNS 未对上面提到的 foobarns1.example.com. 和 foobarns2.example.com. 这两条 NS 记录添加 RRSIG 签名,导致解析失败。
如果运行 dig foobar.example.com NSEC +dnssec @1.1.1.1,理想的结果是
foobar.example.com. 3600 IN SOA ns1.qeodns.com. webmaster.qeodns.com. REDACTED 300 300 86400 3600
foobar.example.com. 3600 IN RRSIG SOA 13 2 3600 REDACTED REDACTED REDACTED foobar.example.com. yO38AA+c6HkNp+zvJxXJaaGdxFGBZvzYhoQ9ByihXDRgIXCEMJt5k1hO 2X2/6+Bisfa7mWP+Ay/swq/tXGXHWQ==
foobar.example.com. 3600 IN NSEC �00.foobar.example.com. A NS SOA MX TXT AAAA RRSIG DNSKEY
foobar.example.com. 3600 IN RRSIG NSEC 13 2 3600 REDACTED REDACTED REDACTED foobar.example.com. omx0XYI53bfP2rgMj/ZBdmkkt8ZSM+vgSdZ8e8xeK3LC3V2/Wrvmo5aJ XEEDGPW2vGpaAFUJp1NLK3Jw2msVVA==
而 EO DNS 实际返回的是
foobar.example.com 180 IN NSEC �00.foobar.example.com. A NS SOA MX TXT AAAA SRV RRSIG NSEC DNSKEY SVCB HTTPS CAA
根据 RFC 4034 3.1.1,“每个权威 RRset 都必须受到 RRSIG 数字签名(The Type Covered field identifies the type of the RRset that is covered by this RRSIG record)”因此,基本上可以推测是 EO DNS 的问题。
已经提了工单,现在还没回复。腾讯云这样的大厂犯这种错误真的不应该,如果有类似 小众 需求还请谨慎操作。
正文完
