飓风电气标志位于背景显示飓风的眼睛上方。

Hurricane Electric的辅助DNS增加了对TSIG身份验证支持

我发表了一个令人失望的次要授权DNS服务提供商的比较上个月。有没有任何明确的赢家,因为即使是最昂贵的服务缺乏正确的域的区域传输(AXFR)认证(TSIG)。然而,供应商之一加紧游戏,增加了TSIG支持。

我不得不通过电子邮件发送大多数被列入我的比较,作为全线文档是相当差的服务提供商。没有考虑太多细节,似乎有一个服务的成本和他们的支持答案的质量之间的直接着色。虽然可能不是你所希望的方式!与自由层的服务,迅速回答,并回答了我的问题,第一个消息中。最昂贵的服务被我弄得参考RFC到数字标准或干脆没有回应。

Hurricane Electric公司的(HE.net)免费DNS服务站了出来,虽然。Over the course of a few weeks they’d not only replied to my support request where I asked for details about Secret Key Transaction Authentication for DNS (TSIG) support, but they’d also implemented TSIG support and rolled it out to all of their customers.

未认证AXFR留下您的DNS服务器开放滥用流量放大攻击作为一个单一的AXFR请求可以返回整个域区。TSIG认证有助于防止滥用和非预期的信息,从您的DNS基础设施。许多辅助DNS提供商依靠IP地址的过时的做法允许-上市,而不是在做正确的AXFR请求认证。

HE.net的DNS服务都是免费的,而且在许多方面优于许多相当昂贵服务的我我认为比较。(对比表已经更新。)你没有得到一个服务级别协议(SLA)或任何正常运行时间保证。

但是,你做什么得到的是免费的二级(或三级)权威DNS具有完全支持IPv6在二十几全球选播点网络的呈现位置的服务。

如果你一直在围栏约推出二级(或三级)DNS提供商为您的站点,那么你应该考虑给Hurricane Electric公司的您几分钟的时间。(这是所有将采取!)

HE.net的辅助DNS服务也不是没有缺点。他们是积极的限速区变更通知(NOTIFY)请求。如果你只是偶尔做出改变NOTI​​FY请求在几秒钟内行事,但如果你是要修改的周期通常为每小时他们完全忽略。你可以降低你的区域的时间到现场来解决此限制,但在降低区域缓存效率为代价。

该HE.net DNS管理面板显示有关与非指定DNSSEC相关的记录类型可能带兼容性问题的警告通知,当您添加一个新的辅助区域。As far as I — and automated online DNSSEC validation tools — can tell, the service doesn’t have ay problems with the DNSKEY and RRSIG record types. HE.net doesn’t specific any more details about what the incompatibility problems might be so you’ll have to test your zone thoroughly.