Рейтинг:2

Удалить запись RRSIG из поддомена GoDaddy

флаг ph

Я добавил 4 записи NS для поддомена электронной почты SalesForce.

С тех пор SalesForce жаловались, что видят «RRSIG запись для поддомена" а они "не поддерживают (добавьте в NS) RRSIG записи», и поэтому мне нужно удалить его.

я не добавляла RRSIG вход - похоже, он автоматизирован? Я не вижу его ни в интерфейсе GoDaddy, ни в файле зоны. Могу ли я удалить его?

SalesForce направил меня к веб-инструменту (xnnd.com), который показывает оскорбительную запись (последняя строка)

электронная почта.example.com. 3600 IN NS ns4.exacttarget.com.
электронная почта.example.com. 3600 В NS ns3.exacttarget.com.
электронная почта.example.com. 3600 IN NS ns2.exacttarget.com.
электронная почта.example.com. 3600 В NS ns1.exacttarget.com.
электронная почта.example.com. 600 IN RRSIG NSEC 8 3 600 20220517140242 20220502140242.. (куча всякой всячины...)

В соответствии с комментариями и указаниями DNSViz Я вижу эту ошибку:

example.com to email.example.com: сервер(ы) для родительского зона (example.com) ответила ссылкой вместо ответа авторитетно для типа DS RR.

Я не уверен, является ли это свидетельством проблемы или просто индикатором того, что мы делегировали управление DNS для поддомена компании SalesForce. Так что до сих пор неясно, в чем проблема.

Рейтинг:3
флаг cn

RRSIG это подпись, связанная с DNSSEC. Это не "скрытая" запись, но ее нельзя редактировать, как любую другую запись.

В вашей зоне включен DNSSEC, так как ДС запись можно сказать, и полную диагностику DNSViz. Это делается вашим провайдером DNS, поэтому по любому вопросу о содержимом вашей зоны, и если вы не знаете о DNSSEC, ваш провайдер DNS должен быть вашим первым контактным лицом.

Но затем вы делегируете часть своей зоны другому набору серверов имен. В этом случае у вас должен быть один или несколько ДС записи в вашей зоне и соответствующие DNSKEY записи на дочерних серверах имен. Что, очевидно, не так, как сообщает вам DNSViz, потому что он не может получить соответствующий ДС запись, следовательно, нарушает полную проверку DNSSEC, по крайней мере, для части вашей зоны, ситуация, в которой вы не хотите быть, потому что это означает, что для некоторых пользователей (и, вероятно, для большинства, поскольку крупнейшие общедоступные преобразователи DNS полностью проверяют DNSSEC) они не будут увидят эту часть зоны вообще, они получат ошибку DNS, как будто имя не существует.

«Простым» (или, по крайней мере, быстрым) решением было бы попросить вашего текущего провайдера DNS отключить DNSSEC в вашей полной зоне (что приведет к удалению этих «скрытых» RRSIG записи). Но вы также немного теряете, так как DNSSEC предоставляет некоторые гарантии целостности ответов, полученных клиентами при доступе к вашим ресурсам.

Настоящим решением было бы вместо этого пойти в Salesforce и попросить их предоставить другой способ (без делегирования и NS записи) для выполнения любых услуг, которые вам нужны для них. Таким образом, вы можете поддерживать DNSSEC в своей зоне. Однако существует большой риск того, что этот запрос останется без внимания, так как сначала вам нужно будет пройти через достаточное количество уровней поддержки клиентов, прежде чем вы доберетесь до кого-то, кто разбирается в DNSSEC.

Что касается:

просто индикатор того, что мы делегировали управление DNS для субдомена в отдел продаж.

Само присутствие NS записи на авторитетных серверах имен для вашей зоны являются доказательством контроля. Если это делается только для утверждения доказательства, этого достаточно, и их можно удалить. Если они являются частью предоставляемой услуги, как объяснялось выше, вы не можете иметь их и зону с поддержкой DNSSEC одновременно, поэтому будет либо одно, либо другое, а не то и другое.

Patrick Mevzek avatar
флаг cn
@anx Потому что вы думаете, что конечный клиент может свободно вводить запись NSEC в своей зоне? Я не знаю ни одного провайдера DNS, предлагающего это, вы знаете такого? Следовательно, хотя технически это возможно и легко, если вы сами управляете своей зоной на своих серверах, в 99,99% случаев это кажется совершенно нереальным, тем более с «универсальным» регистратором и DNS-провайдером, а также для ОП, который явно плохо знаком с DNSSEC...
anx avatar
флаг fr
anx
О, я глупо предположил, потому что это возможно, и другие части могут происходить автоматически более или менее так, как нужно большинству клиентов, так что это может быть. Черт, теперь я вижу, что остаются только два варианта, которые вы предложили.
Steve avatar
флаг ph
@Патрик Мевзек Отлично. Спасибо. Теперь я вспоминаю, что у нас был аудит безопасности, и аудиторы заставили нас включить «DNSSEC». Таким образом, включение «DNSSEC» хорошо для безопасности, но усложняет такие вещи, как делегирование поддомена. Я полагаю, что для правильного делегирования потребуется генерировать ключи или подписи или что-то более сложное, чем выбор параметра или заполнение простой записи в пользовательском интерфейсе GoDaddy? Salesforce сказал, что если мы не можем удалить запись «RRSIG», мы можем пропустить делегирование, и я вношу необходимые записи напрямую.
user1686 avatar
флаг fr
@Steve: Подписанный домен _is_ разрешен для неподписанного делегирования, с этим нет проблем. Вы просто добавляете обычные записи NS без каких-либо записей DS, и валидаторы DNSSEC не будут жаловаться; они просто примут дочернюю зону как преднамеренно неподписанную (запись NSEC позволяет валидаторам знать, что это не атака с удалением dnssec или что-то в этом роде). Насколько я понимаю, «проблема» с наличием записей RRSIG полностью создается SalesForce, и для их жалоб нет никаких технических оснований.
Patrick Mevzek avatar
флаг cn
@user1686 user1686 на 100% согласен с тем, что «проблема» наличия записей RRSIG полностью решается SalesForce, и для их жалобы нет технической основы». за исключением того, что технически, как сообщает DNSViz, текущая ситуация нарушена из-за того, что текущие серверы имен отвечают на запись «DS» для делегируемого имени. Таким образом, все может работать, но не обязательно у текущего провайдера с текущим случаем делегирования.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.