Bagaimana DNS publik berfungsi?

1

Jika saya memiliki jaringan perusahaan kecil dengan beberapa server web dan DNS dengan DNSSEC untuk menandatangani file zona. Saya dapat mengedit file zona dan mengkonfigurasi pemetaan (nama -> IP) sebagai tambahan untuk pemetaan lain, misalnya catatan TXT, dll. Kemudian menandatangani file tersebut. Klien yang didukung DNSSEC menanyakan DNS dan mendapatkan catatan, memverifikasi tanda tangan, dll.

Jika pengguna saya menggunakan DNS publik seperti 8.8.8.8, bagaimana saya bisa mengkonfigurasi catatan TXT DNS saya sendiri di sana. Apakah DNS publik seperti 8.8.8.8 adalah server DNS atau hanya resolver? Bagaimana DNS publik bekerja tepat untuk menyelesaikan example.comyang menggunakan DNSSEC untuk mengautentikasi di server DNS-nya? siapa yang punya kunci masuk? example.comatau DNS publik?

pengguna9371654
sumber
1
Ada keterputusan antara pengetahuan, pertanyaan, dan pengaturan Anda. Jelas seseorang memiliki keterampilan untuk mengatur ini - Anda harus bekerja dengan mereka.
davidgo
@davidgo Saya melakukan pengaturan untuk jaringan pribadi untuk tujuan pembelajaran. Saya memiliki pemahaman tentang cara kerja di jaringan pribadi. Tetapi saya perlu mendapatkan wawasan lebih lanjut tentang bagaimana hal-hal bekerja ketika pengguna atau klien menggunakan DNS publik mengingat fakta bahwa perusahaan telah menandatangani catatan DNS mereka. Dalam hal ini, klien memvalidasi respons menggunakan kunci publik mana? server perusahaan atau DNS publik?
user9371654

Jawaban:

3

Apakah DNS publik seperti 8.8.8.8 adalah server DNS atau hanya resolver?

Itu hanya resolver seperti yang disediakan oleh ISP. Itu tidak mengubah apa pun tentang bagaimana domain Anda dikelola: catatan masih disimpan di zonefile di server 'otoritatif' Anda, dan Anda menandatangani zona dengan kunci Anda sendiri.

Jika pengguna saya menggunakan DNS publik seperti 8.8.8.8, bagaimana saya bisa mengkonfigurasi catatan TXT DNS saya sendiri di sana.

Kamu tidak. Karena 8.8.8.8 adalah penyelesai, ia akan mengikuti rantai delegasi (catatan NS) dan akan mendapatkan catatan dari server otoritatif Anda sendiri . (Persis seperti cara menyelesaikan domain lain seperti "google.com" ...)

Jadi, jika domain bersifat publik (dibeli dari pencatat) dan jika server DNS Anda dapat diakses oleh publik, maka tidak ada yang akan berubah.

Tentu saja, jika domain tidak didelegasikan - misalnya jika itu di bawah semacam TLD buatan mycompany.lan- maka resolver publik tidak akan dapat melihatnya sama sekali. Jadi jangan gunakan domain buatan.

Bagaimana DNS publik bekerja dengan tepat untuk menyelesaikan example.com yang menggunakan DNSSEC untuk mengautentikasi di server DNS-nya

Untuk pengambilan data DNS secara teratur, lihat di atas, dan lihat banyak dokumentasi yang ada. Singkatnya, resolver mengikuti rantai catatan NS dari zona root sampai menemukan server Anda sendiri.

Validasi DNSSEC sangat mirip: selain catatan NS (menunjuk ke server berikutnya), setiap delegasi juga memiliki catatan DS (memiliki kunci publik zona berikutnya). Penyelesai atau validator kembali mengikuti rantai catatan DS.

grawity
sumber
Jadi bisakah saya katakan bahwa pemilik domain adalah entitas yang sama yang memiliki kunci penandatanganan DNS? yaitu example.compemilik adalah entitas yang sama yang memiliki kunci penandatanganan untuk catatan DNS example.com?
user9371654
Itu sering terjadi, ya. Tetapi tidak selalu: banyak orang tidak menjalankan server otoritatif mereka sendiri, dan hanya menggunakan layanan "DNS control panel" berbasis registrar gratis. Dalam hal itu, file zona dihasilkan dan ditandatangani (atau tidak) oleh registrar, bukan oleh pemiliknya.
grawity
(Yang masih merupakan layanan "server otoritatif", dan sama sekali tidak terkait dengan resolusi publik seperti Google Public DNS.)
grawity