設定 BIND 的 DDNS (Dynamic DNS) 環境

本篇文章僅限 BIND 的 DDNS (Dynamic DNS) 設定方式
不另說明 DNS 及 BIND 的架構和觀念

 

範例
Domain: example.com
master (Primary) server: dns.example.com (192.168.1.1)
slave (Secondary) server: ns1.example.com (192.168.1.2)

先用 dnssec-keygen 產生需要的 TSIG key,存放在 /var/named/keys

其中 waAzR8JieB2vcRX42R9dEg== 是我們需要的資訊

閱讀全文〈設定 BIND 的 DDNS (Dynamic DNS) 環境〉

設定 DNS CAA 紀錄,保護自己的 SSL/TLS 憑證

目前全球簽發 SSL/TLS 憑證的機構已超過百個
要避免這些機構在某些情況下錯誤簽發憑證 (WoSign曾發生過)
就需要在簽發憑證前做一些檢查動作

在 RFC 6844 中定義了 DNS CAA Record
透過 DNS 的 CAA 紀錄,申明網域授權哪些機構可以簽發該網域的憑證
如果沒有設定 CAA 紀錄,則代表任何機構都可以簽發該網域的憑證
2013年1月 CA可以決定是否檢查該記錄,非強制性
2017年3月 CA/Browser 論壇決議 2017年9月起強制所有憑證發行機構在簽發憑證前必須檢查 DNS CAA 紀錄

閱讀全文〈設定 DNS CAA 紀錄,保護自己的 SSL/TLS 憑證〉