Documentazione dell'infrastruttura Oracle Cloud

Risoluzione dei problemi DNSSEC

Risolvere i problemi più comuni con DNSSEC.

  • Gli strumenti utili che le persone possono utilizzare per verificare la propria configurazione DNSSEC sono lo strumento Dig, DNSViz o analizzatore DNS di BIND.
  • Quando si accede al supporto, è utile indicare se la zona è abilitata per DNSSEC, quali record DS padre/figlio esistono, quali risultati vengono analizzati utilizzando +dnssec e i risultati dell'utilizzo di DNSViz.
  • Mantenere una catena di fiducia valida è importante perché catene di fiducia interrotte portano a dati contrassegnati come non validi, il che può rendere i domini e i sottodomini invisibili alla verifica dei client. La mancanza di sicurezza si verifica quando una zona padre dispone di un record DS che punta a un DNSKEY inesistente. Se tutti i record DS puntano a DNSKEY inesistenti, la zona figlio viene contrassegnata come non valida.
  • Prima di caricare i record DS nella zona padre, verificare che tutti i name server restituiscano correttamente i record RRSIG previsti durante l'esecuzione di query sui domini nella zona. Se alcuni server dei nomi restituiscono ancora risposte di query non firmate mentre i record DS padre indicano che i dati devono essere firmati, la convalida dei resolver non risolverà il nome di dominio.