Um Offline-Zeiten für eine DK-Domäne beim Onboarding in CloudFlare zu vermeiden, habe ich Folgendes zum Deaktivieren von DNSSEC gelesen:https://developers.cloudflare.com/dns/dnssec/
Wobei steht:
Wenn Sie eine bestehende Domain in Cloudflare integrieren, stellen Sie sicher, dass DNSSEC bei Ihrem Registrar (bei dem Sie Ihren Domainnamen gekauft haben) deaktiviert ist. Andernfalls treten bei Ihrer Domain Verbindungsfehler auf, wenn Sie Ihre Nameserver ändern.
Aufgrund der Formulierung bin ich mir aber immer noch unsicher.
Der Domain-Registrar isthttps://punktum.dk(was auch die TLD für DK-Domänen ist) und sie haben einen DNSSEC-Bereich, in dem Sie DNSSEC-Schlüssel erstellen, importieren und entfernen können.
Das DNS wird bei dandomain.dk gehostet und auf deren Dashboard gibt es neben den DNS-Zonen auch eine Schaltfläche zum Deaktivieren von DNSSEC.
Um Ausfallzeiten zu vermeiden, gehe ich also zuerst zu Punktum.dk und entferne dort die DNSSEC-Schlüssel und warte dann 1–3 Tage, bevor ich das Nameserver-Update auf CloudFlare durchführe?
Oder geht das, indem ich zu Dandomain.dk (DNS-Hoster) gehe, dort DNSSEC deaktiviere und 1–3 Tage warte, bevor ich das Nameserver-Update auf CloudFlare durchführe?
Oder muss ich beides tun und wenn ja, in welcher Reihenfolge?
Danke :-)
Antwort1
Bei DNSSEC gibt die übergeordnete Domäne bekannt, ob ihre Subdomäne(n) signiert werden soll(en) oder nicht.
Wenn Ihre Domäne signiert ist, obwohl die übergeordnete Domäne angibt, dass sie nicht signiert sein sollte, ist das harmlos. Wenn die übergeordnete Domäne jedoch angibt, dass die Domäne signiert sein sollte, dies jedoch nicht der Fall ist, sehen die Daten Ihrer legitimen Domäne wie eine Fälschung aus.
Beginnen Sie also oben: Gehen Sie zuerst zum Registrar und entfernen Sie dort die Schlüssel.
Um mögliche spätere Ausfallzeiten zu minimieren, möchten Sie möglicherweise auch die TTL-Werte Ihrer NS-, SOA- und aller anderen DNS-Einträge reduzieren, die voraussichtlich bei der Umstellung geändert werden müssen – auf etwa eine Stunde, 15 Minuten oder sogar nur 5 Minuten, wenn Ihr DNS-Hoster dies zulässt.
Sobald Sie bestätigen können (mitDNSVizoder ähnlich), dass der DS-Eintrag, der den/die Schlüssel Ihrer Domain angibt, durch einen NSEC3-Eintrag ersetzt wurde, um ein DNSSEC-Opt-out anzuzeigen (und dass eine eventuelle TTL-Reduzierung wirksam geworden ist), dannund erst dannSie können die DNSSEC-Einträge aus Ihren Zonen entfernen (indem Sie zu Ihrem aktuellen DNS-Hoster gehen und auf die Schaltfläche „DNSSEC deaktivieren“ klicken). Dadurch sollten die verbleibenden DNSSEC-Einträge aus Ihren Zonen gelöscht und die DNS-Daten für eine einfache Migration aufgeräumt werden.
Nach Abschluss der Migration können Sie die TTL-Werte erneut erhöhen, um eine effizientere Zwischenspeicherung der Datensätze Ihrer Domain zu ermöglichen.