Solución de Problemas de DNSSEC
Solucione problemas comunes con DNSSEC.
- Las herramientas útiles que las personas pueden utilizar para verificar su configuración de DNSSEC son Dig tool, DNSViz o DNS Analyzer de BIND.
- Al ponerse en contacto con el soporte, es útil indicar si la zona está activada para DNSSEC, qué registros DS principal/secundario existen, los resultados de dig con
+dnssecy los resultados de uso de DNSViz. - Mantener una cadena de confianza válida es importante porque las cadenas de confianza rotas hacen que los datos se marquen como no válidos, lo que puede hacer que los dominios y subdominios se vuelvan invisibles para la verificación de clientes. La falta de seguridad se produce cuando una zona principal tiene un registro DS que apunta a un DNSKEY no existente. Si todos los registros DS apuntan a DNSKEY no existentes, la zona secundaria se marca como no válida.
- Antes de cargar registros DS en la zona principal, verifique que todos los servidores de nombres devuelvan correctamente los registros RRSIG esperados al consultar dominios en la zona. Si algunos servidores de nombres siguen devolviendo respuestas de consulta sin firmar mientras que los registros DS principales indican que los datos deben firmarse, los solucionadores de validación no resolverán el nombre de dominio.