1
lhbc 2015-11-13 12:19:35 +08:00
被某墙污染的能解决?
|
3
bestsanmao 2015-11-13 13:04:24 +08:00
嗯
已经 enable dnssec 了 |
4
kmahyyg 2015-11-13 13:19:09 +08:00
怎么弄?有啥用?
|
5
Eleutherios 2015-11-14 07:22:24 +08:00 via iPhone
|
6
hotbaidu 2015-11-15 19:17:19 +08:00
国内 Public DNS 目前只有百度跟 CNNIC 支援 DNSSEC 验证
|
7
20140930 2015-11-16 10:47:44 +08:00
|
8
johnjiang85 2015-11-16 18:04:04 +08:00
@20140930 谢谢支持
DNSPod 的授权解析很之前是使用的开源解析程序的二次开发版,并对 DNSSEC 进行了支持,但是因为该功能基本无任何意义(递归都不支持),且大量消耗服务器资源,所以在之后的自研解析程序中以及官网升级中,并未对 DNSSEC 进行直接支持,目前 DNSPod 官网中也都去掉了支持 DNSSEC 的描述。 但是随着这几年的发展, DNSSEC 有了一定程度(虽然很小)的增长,我们也在讨论重新支持 DNSSEC 的可行性和必要性(主要是我们自己也推出了公共 DNS ),目前来看时机尚未完全成熟,主要的原因除了 5 楼说的大部分客户端不支持外,还有一个很重要的原因是目前国内针对 DNS 的攻击非常严重,而如果要支持 DNSSEC ,势必造成解析服务器消耗资源过多,严重影响解析服务器的性能,应答包太大容易被用于反射放大攻击等等问题。 现在 DNSPod 对于支持 DNSSEC 并没有具体的安排,但是不排除在 2016 年进行支持的可能,如果决定要进行支持的话,我们会在授权 DNS 和公共 DNS 进行同时支持,解决我们能决绝的这一部分问题。 由于支持 DNSSEC 来解决 DNS 劫持问题,需要非常多的依赖,并存在很多问题,一直未进行支持。但是我们 15 年推出了 D+(HttpDNS )的解决方案,虽然大多数时候只能解决 app(客户端)的 DNS 劫持问题,但是相比于 DNSSEC 的可行性还是高不少,而且今后移动互联网毕竟是大势所趋,并且移动互联网的 DNS 劫持问题比 PC 时代更严重一些。 |
9
ghost444 2017-01-17 03:02:11 +08:00 via Android
@johnjiang85 2017 了…
|
10
johnjiang85 2017-01-17 10:15:54 +08:00
@ghost444 目前还没有支持 DNSSEC 的计划...
|
11
yryz 2017-07-12 14:50:45 +08:00
@johnjiang85 为什么不考虑支持 DNSSEC 呢,是有什么障碍吗。 目前有几项关于 HTTPS 安全的 RFC 规范都需要 DNSSEC 做支撑。
CAA 这个解析记录也是,我看国内都不支持。 |
12
johnjiang85 2017-07-12 16:36:49 +08:00 1
@yryz 目前还没有任何计划去支持 DNSSEC,怎么说呢,最主要的还是付出收益比是否值得去做,有比较高的收益,或者不支持 DNSSEC 会导致非常严重的后果,是会去做的。
比如 CAA 吧,其实 DNSPod 从 lets encrypt 之后会响应 CAA 类型了(当然控制台依然是不支持的),但是直接返回 SOA,以便通过 lets encrypt 的校验,在之前 CAA 类型包括其他任何不支持的类型,都是直接过滤丢包的,现在的网络环境 DDoS 的攻击太多就要求安全防护规则都要从严。 |
13
geekzu 2017-10-16 14:44:30 +08:00
@johnjiang85 你好,看起来你是 DNSPod 的官方人员,想反馈一下,DNSPod 国际版仍会丢弃 CAA 查询,本人一周前发送到联系邮箱的邮件至今无人回复,工单客服表示联系不上国际版同事。
|
14
johnjiang85 2017-10-16 17:38:08 +08:00
@geekzu 我找人看下国际版 CAA 的问题,尽量能在月底支持返回 SOA,可以通过 letsencrypt 的验证。不过国际版目前仅保持维护状态,不会再有新功能添加。正常的 CAA 记录添加等后续国内版会增加,但是国际版不会增加。
|
15
johnjiang85 2017-10-20 17:14:12 +08:00
@geekzu 国际版版本已经更新
dig @a.dnspod.com dnspod.com -t TYPE257 ; <<>> DiG 9.10.3-P4-Ubuntu <<>> @a.dnspod.com dnspod.com -t TYPE257 ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10193 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;dnspod.com. IN CAA ;; AUTHORITY SECTION: dnspod.com. 600 IN SOA a.dnspod.com. domainadmin.dnspod.com. 1498622018 3600 180 1209600 180 ;; Query time: 74 msec ;; SERVER: 112.90.141.215#53(112.90.141.215) ;; WHEN: Fri Oct 20 17:10:33 CST 2017 ;; MSG SIZE rcvd: 109 |
16
chotow 2018-04-17 19:50:13 +08:00
@johnjiang85 阿里云年初支持 CAA 设置了,期待你们也增加。
|
17
johnjiang85 2018-04-17 19:52:43 +08:00 1
@chotow 后台服务程序都已经支持了的,控制台貌似正在开发中,预计很快就会上线了
|