나는 여기서 처음으로 DNSSEC를 활성화하는 것에 대해 정말로 혼란스러워했습니다.
호스팅을 위해 WordPress 웹사이트를 실행하는 Google Cloud 컴퓨팅 엔진을 사용하고 있습니다. 내 도메인 등록 기관의 이름 서버는 Cloudflare로 설정된 다음 Google Cloud DNS로 다시 라우팅됩니다(적어도 그렇게 작동한다고 가정합니다).
Google Cloud DNS와 Cloudflare를 모두 사용하고 있으므로 DNSSEC를 활성화하려고 합니다. 현재 GC와 Cloudflare 모두에서 활성화했습니다(두 가지 모두에서 활성화해야 할지 잘 모르겠지만 지금은 그대로 유지하고 있습니다). 도메인 등록 기관에 제공할 별도의 DS 레코드 두 개를 받았습니다(하나는 GC의 것과 CF의 것, 물론 다릅니다).
제 질문은 도메인 등록 기관에 어떤 DS 레코드(GC 또는 CF)를 제공해야 합니까?입니다. 또한 두 가지를 모두 켜는 것이 안전합니까? 그렇지 않은 경우 어느 것을 켜야 하고 어느 것을 꺼야 합니까?
또한 두 가지를 모두 켜둘 수 있거나 유지해야 하는 경우 등록 기관에 두 가지 모두에 대해 두 개의 별도 DS 레코드를 생성하도록 요청해야 합니까?
지금까지는 등록 대행자에게 Cloudflare DS 레코드만 제공했으며 현재 추가를 기다리고 있습니다(이것이 DS 레코드를 추가하는 유일한 방법이기 때문입니다).
답변1
DNS에는 "라우팅 백"과 같은 것이 없습니다. 그만큼대표 서명자 DS기록(RFC 4034, 5)에 대한 것이어야합니다권한 있는 서버상위 영역에 나열됩니다. 보안 위임은 NS위임과 일치해야 합니다.
그런 다음 다른 NS 레코드 집합으로 example.com제어를 위임할 수 있습니다 . sub.example.com이 경우 에는 example.com다른 DS 레코드 세트도 있을 수 있지만 com해당 영역에 대한 DS 레코드만 있어야 합니다 example.com.