在何处以及如何提交IDN ccTLD的DNSSEC DS记录

我有机会配置IDN ccTLD。 我已经配置了DNS服务器，它工作正常。 现在，我面临一个挑战，就是如何通过DNSSEC保护dns服务。 我通过自签名配置了DNSSECC。

---

但现在我不明白应该在何处以及如何输入DS记录。

DS记录位于委派区域，如果您实际正在配置ccTLD，则委派区域是根区域。因此，请与您在ICANN的联系人谈谈如何向他们获取必要的信息。

在回答“何处”时，我想提供一些关于“如何”为您的ccTLD（IDN或其他）启用DNSSEC的建议

Viktor Dukhovni的页面处理了许多特定于DANE的事情（使用DNSSEC作为证书的锚，特别是SMTP），但他的前两点（以及下一点）对任何实现DNSSEC的运营商都有效，特别是任何类型的TLD

特别是，下文删节的第一点至关重要：

正在发布DNSSEC DS记录。。。作为时尚宣言

保持这些正确性需要操作规程。管理员 期待“放火遗忘”的人不应该发布DNSSEC签署的区域。。。 或者他们可以付钱给其他人来管理他们的区域。。。经营不善 维护DNSSEC区域。。。不仅为域创建问题 有问题，但也适用于所有试图与之通信的域 这样一个领域。如果DNSSEC。。。[被]拿走了 真的

有许多CCTLD在保持其DNSSEC签署区域正常运行方面的记录远远不理想；只需查找在IANIX停机列表中多次出现的TLD即可

由于您的IDN ccTLD是一个新的TLD，DNSSEC是强制性的，因此即使您吞下IANIX提供给您的红色药丸并放弃DNSSEC，您也别无选择，只能实施它。您应尽一切努力将您的DNSSEC部署视为一项极其重要的任务，因为作为TLD，它不仅直接影响您的域的运行和安全，而且还直接影响向其注册的任何和所有域的运行和安全

此外，尽管DNSSEC非常困难且存在问题，但它不太可能消失，而且其数量（或仅依赖于DNSSEC验证解决服务，如，或）非常多，而且在许多可能成为IDN ccTLD候选国的国家，数量要多得多（请参阅上一链接中的和每个国家/地区的详细信息，以获取例如和的示例）

如果您想“自己动手”，我们有很好的资源帮助您管理DNSSEC并启动您自己的DNSSEC区域签名。但很容易出错，并且如果没有定期的监控和呼叫响应，您的DNSSEC签名可能会过期，并使数百万人无法访问您的整个域。更糟糕的是，如果用于DNSSEC签名的私钥被泄露，则依赖于DNSSEC的任何域的安全性都可能会受到影响他处于危险之中

<> P>您可能想认真考虑从长远来看，为您的IDN CCTLD托管区域是否更容易和更便宜，它可以提供一个商业DNS提供者，它可以提供托管DNSSEC（当您操作TLD的注册表侧并使用DNS管理API从注册表实现中更新区域）时，

最后一条建议；除非您授权数百万个在您的ccTLD中没有DS记录且需要的域，或者您在欧洲运营，那里的数据隐私法可能要求您使用NSEC3，否则您现在可能应该使用老式的NSEC，因为它允许Google公共DNS（以及其他的DNS实现）吸收NXDOMAIN拒绝服务攻击和垃圾查询，而无需将其转发到权威服务器。如果NSEC3确实提供了针对区域枚举的重要保护，那么它可能值得使用，而且（在2016–2017年，仅NSEC可能）更有用