DNSSEC

DNS 行为变化

为准备 DNSSEC,对 .com/.net/.edu 名称服务器进行的更改

2010 年 3 月 1 日,威瑞信作出了两项对影响 .com.net 和 .edu 区域 ([a-m].gtld-servers.net) 授权名称服务器的行为的更改。这些更改是在上述三个区域中部署 DNSSEC 的先决条件。这两项更改是
新的引用行为”和“不再提升为授权状态的粘连”。

新的引用行为 

过去,当查询用作粘连(委派点处 NS 记录或 NS 记录下方的地址记录)的现有 A 或 AAAA 记录服务时,.com 和 .net 的授权名称服务器将在响应的应答节中使用粘连记录。但是,应答不会标记为授权,即不设置 AA 位。尽管此行为符合 DNS 标准,但现今的授权服务器并不是按照这种方式进行响应。现今的授权服务器在遇到查询委派点处或委派点下方的名称时,将以引用委派区域的方式进行响应。DNS 标准同样支持这种行为。

[a-m].gtld-servers.net 服务器现已改用后一种引用行为:查询粘连记录将导致引用而非未授权应答。

请注意,这种更改会影响 .com 和 .net 下某些相互依赖的域的解析。例如,相互依赖的 "example.com" 和 "example.net" 区域的以下配置在过去能够正常使用:

example.com.NS ns1.example.net.
example.com.NS ns2.example.net.

example.net.NS ns1.example.com.
example.net.NS ns2.example.com.

这两个域都是在“循环”中配置的:所有 example.com 服务器都位于 example.net 域中,所有 example.net 服务器都位于 example.com 域中。这样的循环配置以前能够解析成功,因为对于 .com 和 .net,[a-m].gtld-servers.net 都是授权方,且这些服务器都以非授权应答的方式返回对粘连的查询,如上所述。

为准确解释为什么此配置有效,请考虑递归解析程序(递归名称服务器负责发送查询的部分)在解析 "www.example.com" 的任何数据时所执行的步骤:

  • 迭代解析程序向 .com 授权名称服务器查询 "www.example.com",并收到对 "example.com" 的引用,其中仅列出 "example.net" 中的名称服务器。
  • 即使引用在 DNS 消息的附加节中包含 "ns1.example.net" 和 "ns2.example.net" 的 A 记录,现代迭代解析程序也会将这些记录视作缓存病毒的防御措施而予以忽略。
  • 丢弃 "ns1.example.net" 和 "ns2.example.net" 的 A 记录之后,迭代解析程序现在得到了域名,但不包括任何 "example.com" 名称服务器的地址。必须暂停对 "www.example.com" 的查询,以查找其中一个 "example.com" 名称服务器的地址。我们假设它选择解析 "ns1.example.net"。
  • 迭代解析器最终向 .net 授权名称服务器查询 "ns1.example.net" 的 A 记录。根据 [a-m].gtld-servers.net 的当前引用行为,.net 服务器对 "ns1.example.net" 的 A 记录返回非授权应答。迭代解析程序使用此地址联系此 "example.com" 名称服务器并解析 "www.example.com"。

但自 2010 年 3 月 1 日起,.net 服务器不返回 "ns1.example.net" 的 A 记录,而是返回对 "example.net" 的引用。但上面提到,所有 "example.net" 名称服务器都位于 "example.com" 域中。迭代解析程序现在尝试解析 "ns1.example.net" 的唯一原因是为了解析原始查询 "www.example.com",而它显然也位于 "example.com" 域中。因此,在各个域相互依赖的情况下,解析无法继续。

威瑞信创建过两个 .com 和 .net 域的列表,它们可能会受到此更改的影响:

列表 1:参与循环的域

此列表中的域都相互依赖,如上所述。例如在上述场景中 "example.com" 和 "example.net" 均应在列表 1 中。

列表 2:完全依赖循环中域的域

与列表 1 中的域不同,此列表中的域并不主动参与循环。相反,列表 2 中的所有域都专门使用循环域的名称服务器。换句话说,列表 2 中域的所有名称服务器都来自列表 1 中的一个或多个域。继续上例,如果域 "foo.com" 有名称服务器 "ns1.example.com" 和 "ns2.example.com",则 "foo.com" 将出现在列表 2 中。

如果某个域出现在其中一个列表中,3 月 1 日的更改将要求至少更改它的一个名称服务器,以打断循环(对于列表 1 中的域),或者去除域对循环的依赖(对于列表 2 中的域)。

不再提升为授权状态的粘连 

在 .com/.net 注册系统中,域可以置于管理性挂起状态。挂起状态的域不会发布:将从 .com 或 .net 区域中删除代理域的 NS 记录。例如,如果域即将到期但注册商没有响应续期请求,或者域被用于恶意行为,注册商会将该域置于挂起状态。

更改之前,域置于挂起状态时,将从区域中删除其 NS 记录,但不会删除该区域中名称服务器的任何 A 和 AAAA 记录。例如,请考虑注册中既有域 "example.com" 也有名称服务器 "ns.example.com" 的情况。(重要说明:"example.com" 区域本身是否实际使用 "ns.example.com" 作为其授权名称服务器之一,与此处描述的行为无任何关系。需要注意的是,"ns.example.com" 位于 "example.com" 域中,即在 DNS 命名空间中位于它的下方。)

过去,如果 "example.com" 域被置于挂起状态,则 .com 区域中代理域的 NS 记录将被删除。"ns.example.com" 的 A 和 AAAA 记录依然保留在区域中。事实上,因为这些记录不再位于委派点之下,它们会提升为授权数据。

自 2010 年 3 月 1 日起,当域变为挂起状态时,将从区域中删除代理域的 NS 记录,域下名称服务器的 A 和 AAAA 记录不再提升为授权状态。这些 A 和 AAAA 记录并未被真正删除:尽管受到直接查询时并不会返回它们,但它们会显示在引用它们的附加引用节中。

在上例中,如果 "example.com" 变为挂起状态,将从区域中删除其 NS 记录。但如果 "example.net" 域使用 "ns.example.com" 作为名称服务器,对 "example.net" 的引用响应将在附加节中包含 "ns.example.com" 的 A 和 AAAA 记录。

如对这些更改有任何疑问,请联系威瑞信的注册客户服务组

返回页首