Solucionando Problemas de DNSSEC
Solucione problemas comuns com DNSSEC.
- Ferramentas úteis que as pessoas podem usar para verificar sua configuração DNSSEC são a ferramenta Dig, DNSViz ou DNS Analyzer do BIND.
- Ao entrar em contato com o suporte, é útil indicar se a zona está ativada para DNSSEC, quais registros DS pai/filho existem, obter resultados usando
+dnssece os resultados do uso de DNSViz. - Manter uma cadeia de confiança válida é importante porque cadeias de confiança quebradas resultam em dados marcados como inválidos, o que pode fazer com que domínios e subdomínios se tornem invisíveis para verificar clientes. Cláusula de segurança é quando uma zona pai tem um registro DS apontando para um DNSKEY não existente. Se todos os registros DS apontarem para DNSKEYs não existentes, a zona filha será marcada como inválida.
- Antes de fazer upload de registros DS para a zona pai, verifique se todos os servidores de nome retornam corretamente os registros RRSIG esperados ao consultar domínios na zona. Se alguns servidores de nome ainda retornarem respostas de consulta não assinadas enquanto os registros DS pai indicarem que os dados devem ser assinados, a validação de resolvedores não resolverá o nome do domínio.