CloudFlare にオンボーディングする前に DNSSEC を無効にする最適な方法は何ですか?

CloudFlare にオンボーディングする前に DNSSEC を無効にする最適な方法は何ですか?

DK ドメインを CloudFlare にオンボードするときにオフライン時間を回避するために、DNSSEC を無効にすることに関して次のことを読みました。https://developers.cloudflare.com/dns/dnssec/

そこにはこう書かれています:

既存のドメインを Cloudflare にオンボードする場合は、レジストラ (ドメイン名を購入した場所) で DNSSEC が無効になっていることを確認してください。無効になっていないと、ネームサーバーを変更するときにドメインで接続エラーが発生します。

しかし、彼らの言葉遣いのせいでまだ確信が持てません。

ドメイン登録業者はhttps://punktum.dk(DK ドメインの TLD でもあります) には DNSSEC セクションがあり、そこで DNSSEC キーを作成、インポート、削除できます。

DNS は dandomain.dk でホストされており、ダッシュボードには DNS ゾーンとともに DNSSEC を無効にするボタンがあります。

では、ダウンタイムを回避するには、まず Punktum.dk にアクセスして DNSSEC キーを削除し、その後 1 ~ 3 日間待ってから CloudFlare へのネームサーバーの更新を行うのでしょうか?

それとも、Dandomain.dk (DNS ホスティング会社) にアクセスして、そこで DNSSEC を無効にし、1 ~ 3 日待ってから、CloudFlare へのネームサーバーの更新を行うのでしょうか?

それとも両方行う必要があるのでしょうか。その場合、どの順序で行うのでしょうか。

ありがとう :-)

答え1

DNSSEC では、上位レベルのドメインがサブドメインに署名する必要があるかどうかを通知します。

親ドメインが署名すべきでないと指定しているのにドメインが署名されている場合、それは無害です。しかし、親ドメインがドメインに署名すべきであると指定しているのに署名されていない場合、正当なドメイン データが偽造のように見えてしまいます。

したがって、上から始めます。まずレジストラに行き、そこでキーを削除します。

後で発生する可能性のあるダウンタイムを最小限に抑えるには、切り替え時に変更する必要があると予想される NS、SOA、およびその他の DNS レコードの TTL 値を、1 時間、15 分、または DNS ホスティング業者が許可している場合は 5 分などに減らすこともできます。

確認できたら(DNSVizまたは同様の方法で、ドメインのキーを指定するDSレコードがNSEC3レコードに置き換えられ、DNSSECオプトアウトが示されたこと(およびTTLの削減が有効になったこと)を通知します。そしてその時だけゾーンから DNSSEC レコードを削除できます (現在の DNS ホスティング会社にアクセスし、「DNSSEC を無効にする」ボタンを押します)。これにより、ゾーンから残りの DNSSEC レコードがクリーンアップされ、DNS データが整理されて移行が容易になります。

移行が完了したら、TTL 値を再度増やして、ドメインのレコードをより効率的にキャッシュできるようになります。

関連情報