Me las arreglé para confundirme mucho al habilitar DNSSEC por primera vez.
Estoy utilizando el motor informático de Google Cloud que ejecuta un sitio web de WordPress para alojamiento. Mi registrador de dominios tiene sus servidores de nombres configurados en Cloudflare, que luego se enruta de regreso a Google Cloud DNS (al menos así es como supongo que funciona).
Como uso Google Cloud DNS y Cloudflare, estoy intentando habilitar DNSSEC. Actualmente lo tengo habilitado tanto en GC como en Cloudflare (y no estoy seguro de tenerlo habilitado en ambos, pero lo tengo así en este momento). Me ha proporcionado dos registros DS separados para entregárselos a mi registrador de dominio (Uno). de GC y uno de CF, claro que son diferentes).
Mi pregunta es, ¿qué registro DS debo darle a mi registrador de dominio: GC o CF? Además, ¿es seguro o recomendable tener ambos activados y, en caso contrario, cuál debería dejar activado y cuál debería desactivar?
Además, si puedo o debo dejar ambos activados, ¿debería pedirle al registrador que cree dos registros DS separados para ambos?
Hasta ahora solo le he entregado el registro DS de Cloudflare al registrador y actualmente estoy esperando que lo agreguen (ya que esa es la única forma de agregar registros DS con ellos).
Respuesta1
No existen las "rutas de regreso" con DNS. Elfirmante de la delegación DSregistros (RFC 4034, 5) tiene que ser para elservidores autorizadoslistado en la zona principal. La delegación segura debe coincidir con la NSdelegación.
Luego, example.compodría delegar el control sub.example.comen otro conjunto de registros NS. En este caso, example.comes posible que también tenga otro conjunto de registros DS, pero comsolo debería tener los registros DS para la zona example.com.