如果将域名添加到 EO DNS 上并开启 DNSSEC ,并且为某一子域添加 NS 记录,比如
foobar.example.com. 3600 IN NS foobarns1.example.com.
foobar.example.com. 3600 IN NS foobarns2.example.com.
那么你会发现,foobar.example.com 下的子域名,比如 test.foobar.example.com 会无法解析。这是因为 EO DNS 未对上面提到的 foobarns1.example.com. 和 foobarns2.example.com. 这两条 NS 记录添加 RRSIG 签名,导致解析失败。
如果运行 dig foobar.example.com NSEC +dnssec @1.1.1.1,理想的结果是
foobar.example.com. 3600 IN SOA ns1.qeodns.com. webmaster.qeodns.com. REDACTED 300 300 86400 3600
foobar.example.com. 3600 IN RRSIG SOA 13 2 3600 REDACTED REDACTED REDACTED foobar.example.com. yO38AA+c6HkNp+zvJxXJaaGdxFGBZvzYhoQ9ByihXDRgIXCEMJt5k1hO 2X2/6+Bisfa7mWP+Ay/swq/tXGXHWQ==
foobar.example.com. 3600 IN NSEC \000.foobar.example.com. A NS SOA MX TXT AAAA RRSIG DNSKEY
foobar.example.com. 3600 IN RRSIG NSEC 13 2 3600 REDACTED REDACTED REDACTED foobar.example.com. omx0XYI53bfP2rgMj/ZBdmkkt8ZSM+vgSdZ8e8xeK3LC3V2/Wrvmo5aJ XEEDGPW2vGpaAFUJp1NLK3Jw2msVVA==
而 EO DNS 实际返回的是
foobar.example.com 180 IN NSEC \000.foobar.example.com. A NS SOA MX TXT AAAA SRV RRSIG NSEC DNSKEY SVCB HTTPS CAA
根据 RFC 4034 3.1.1 ,“每个权威 RRset 都必须受到 RRSIG 数字签名( The Type Covered field identifies the type of the RRset that is covered by this RRSIG record )” 因此,基本上可以推测是 EO DNS 的问题。
已经提了工单,现在还没回复。腾讯云这样的大厂犯这种错误真的不应该,如果有类似小众需求还请谨慎操作。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.