我正在创建一个可以离线运行两天的系统。对于 DNSSEC,我可以缓存回复,但 TLD 的签名似乎会在一天后过期。

有没有什么办法可以延长它?

1

  • 1
    为什么?这里涉及的业务问题是什么?


    – 


最佳答案
1

预缓存时验证 DNSSEC,解析时禁用验证。(我认为流行的 DNS 服务器无论如何都是这样工作的,因为客户端不关心 DNSSEC,而是让解析器/缓存代表他们进行验证。)

此外,听起来您的计划已经涉及更改 DNS 缓存服务器的逻辑以忽略常规 DNS 记录 TTL(其中大多数不允许缓存超过 1 天甚至 1 小时),因此忽略 DNSSEC 签名时间戳也不算太过分。时间戳过期实际上并不会使签名无法验证。