- Acesso ao Sistema
- Domínios .br
- Serviços para provedores
- Suporte
- Mapa do site
- Trabalhe no Registro.br
- Contato
- RSS
Acessibilidade do site
São eles: DNSKEY, RRSIG, DS e NSEC.
É a assinatura de um RRset. RRset é um conjunto de records na base de dados DNS com mesmo nome, classe e tipo. Esta assinatura é a garantia de que as informações enviadas sobre um domínio são verdadeiras. Isso é possível em função da utilização de criptografia assimétrica. Para obter mais informações consulte os Tutoriais de DNS e DNSSEC.
Sim. No momento em que se gera um record RRSIG , é definido o intervalo de validade inicial e final.
Não.
Trata-se de uma chave pública que valida as assinaturas digitais de um determinado domínio. Para obter mais informações consulte os Tutoriais de DNS e DNSSEC.
Não. Tanto a chave pública quanto a chave privada nunca expiram.
A chave da pública da raiz deve ser adicionada na configuração do servidor DNS recursivo. Para mais informações consulte os Tutoriais de DNS e DNSSEC.
Os records RRSIG tem um prazo de validade inicial e final. Se o servidor não estiver com o relógio sincronizado, ele pode invalidar uma assinatura válida. É altamente recomendada a utilização de NTP. Para mais informações sobre NTP consulte o site http://pt.wikipedia.org/wiki/Network_Time_Protocol
DNSSEC utiliza EDNS0 (RFC 2671) para, entre outras coisas, permitir a utilização de datagramas UDP maiores do que 512 bytes, o que pode gerar fragmentação dos pacotes. Verifique se seu firewall é capaz de fazer o reagrupamento dos fragmentos antes de checar as demais regras. Caso isto não seja possível, uma alternativa é configurar seu servidor recursivo para que solicite respostas UDP menores. Se você utiliza Bind como servidor recursivo, isto pode ser feito a partir da versão 9.3.0 com a opção edns-udp-size:
options {
edns-udp-size 1252;
};
Mais informações podem ser obtidas no documento Firewalls e DNS ou nos Tutoriais DNS e DNSSEC
.
Os seguintes softwares de servidores DNS suportam a versão mais recente de DNSSEC, incluindo
a RFC 5011:
- BIND 9.7 (ou mais recente)
- NSD 3.2.6 (ou mais recente)
Mais informações podem ser obtidas nos Tutoriais DNS e DNSSEC.
Não. Pois se o domínio não possui o DS do subdomínio deste ponto em diante serão realizadas consultas DNS normais.
O erro NOSIG significa que seu domínio não está assinado por nenhuma das chaves relacionadas aos DS informados ao Registro.br.
Para solucionar este problema certifique-se que o servidor está com DNSSEC habilitado e reassine sua zona.
O erro EXPSIG indica que as assinaturas do seu domínio estão expiradas.
Para solucionar este problema basta reassinar sua zona.
Mais informações podem ser obtidas nos Tutoriais DNS e DNSSEC.Este erro indica que o DS informado na interface do Registro.br não está relacionado com nenhuma das chaves existentes em sua zona.
Para solucionar este problema, utilize o programa DScheck para obter o DS correspondente a chave existente em sua zona ou crie novas chaves, reassine sua zona e informe o novo DS na interface do Registro.br.
Mais informações podem ser obtidas nos Tutoriais DNS e DNSSEC.O erro SIGERROR indica que a assinatura do seu domínio não passa no teste de validação.
Para solucionar este problema basta reassinar sua zona.
O sistema de verificação da cadeia de confiança não conseguiu consultar as chaves existentes em seu domínio.
O problema pode ser causado por algum problema de configuração no seu firewall. Verifique o FAQ 9.9.
Ocorreu um erro em pelo menos um dos servidores DNS, o que impediu a consulta dos DS.
O problema pode ser resolvido solucionando os problemas acusados nos servidores DNS.