ここで初めて DNSSEC を有効にしたのですが、本当に混乱してしまいました。
私はホスティング用に WordPress ウェブサイトを稼働している Google Cloud コンピューティング エンジンを使用しています。私のドメイン レジストラはネーム サーバーを Cloudflare に設定しており、そこから Google Cloud DNS にルーティングされます (少なくとも私はそのように動作すると想定しています)。
Google Cloud DNS と Cloudflare の両方を使用しているため、DNSSEC を有効にしようとしています。現在、GC と Cloudflare の両方で DNSSEC を有効にしています (両方で有効にする必要があるかどうかはわかりませんが、現時点ではそのようにしています)。ドメイン レジストラに渡す 2 つの別々の DS レコードが提供されています (1 つは GC から、もう 1 つは CF からで、もちろんこれらは異なります)。
私の質問は、ドメイン レジストラに渡す DS レコードは GC か CF のどちらにすればよいかということです。また、両方をオンに設定しても安全ですか、または推奨されますか。そうでない場合は、どちらをオンのままにして、どちらをオフに設定すればよいですか。
また、両方をオンのままにできる/残すべきである場合、レジストラに両方に対して 2 つの別々の DS レコードを作成するように依頼する必要がありますか?
これまでのところ、レジストラに Cloudflare DS レコードのみを渡しており、現在はそれが追加されるのを待っています (これが DS レコードを追加する唯一の方法であるため)。
答え1
DNSには「ルートバック」というものはありません。委任署名者 DS記録 (RFC 4034、5)は、権威あるサーバー親ゾーンにリストされています。安全な委任はNS委任と一致する必要があります。
次に、は別の NS レコード セットを使用example.comして の制御を委任できますsub.example.com。 この場合、 にはexample.com別の DS レコード セットも含まれる可能性がありますが、 にはcomゾーンの DS レコードのみが含まれる必要がありますexample.com。