解决方法
dig命令很简单:
% dig +dnssec www.isoc.org. ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY,status: NOERROR,id: 49304 ;; flags: qr rd ra ad; QUERY: 1,ANSWER: 2,AUTHORITY: 7,ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; ednS: version: 0,flags: do; udp: 4096 ;; QUESTION SECTION: ;www.isoc.org. IN A ;; ANSWER SECTION: www.isoc.org. 86382 IN A 212.110.167.157 www.isoc.org. 86382 IN RRSIG A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=
注意两件事:
> dnssec标志 – 这会要求您的DNS服务器验证区域数据.
>响应标志行中的广告条目.这确认了区域数据是正确的.
[如果区域数据不正确,服务器将返回SERVFAIL错误]
但是,除非已将DNS服务器配置为自行执行DNSSEC验证,否则您的DNS服务器实际上不会返回该广告标志.我当然有.
您可以通过在named.conf文件中添加以下行来在递归BIND服务器中启用DNSSEC:
dnssec-enable yes;
dnssec-validation yes;
和根区域的公钥的副本.然后,可以通过DNS层次结构跟踪签名链来验证其他域名.
您还需要一个相当新版本的DNS软件 – 只有较新版本支持RSA / SHA-256加密算法,该算法将用于签署根.这意味着BIND 9.6.2或Unbound 1.4.0
