CloudFlare에 온보딩하기 전에 DNSSEC를 비활성화하는 가장 좋은 방법은 무엇입니까?

CloudFlare에 온보딩하기 전에 DNSSEC를 비활성화하는 가장 좋은 방법은 무엇입니까?

CloudFlare에 온보딩할 때 DK 도메인의 오프라인 시간을 피하기 위해 DNSSEC 비활성화에 관한 다음 내용을 읽었습니다.https://developers.cloudflare.com/dns/dnssec/

어디에 말한다:

기존 도메인을 Cloudflare에 온보딩하는 경우 등록 기관(도메인 이름을 구입한 곳)에서 DNSSEC가 비활성화되어 있는지 확인하세요. 그렇지 않으면 이름 서버를 변경할 때 도메인에 연결 오류가 발생합니다.

그러나 나는 그들의 표현 때문에 여전히 확신이 없습니다.

도메인 등록기관은https://punktum.dk(DK 도메인의 TLD이기도 함) DNSSEC 키를 생성, 가져오기 및 제거할 수 있는 DNSSEC 섹션이 있습니다.

DNS는 dandomain.dk에서 호스팅되며 대시보드에는 DNS 영역과 함께 DNSSEC에 대한 비활성화 버튼이 있습니다.

그렇다면 가동 중지 시간을 피하기 위해 먼저 Punktum.dk로 이동하여 거기서 DNSSEC 키를 제거한 다음 CloudFlare에 대한 이름 서버 업데이트를 수행하기 전에 1~3일을 기다려야 합니까?

아니면 Dandomain.dk(DNS 호스팅 업체)로 이동하여 DNSSEC를 비활성화하고 1~3일 기다린 후 CloudFlare에 대한 이름 서버 업데이트를 수행합니까?

아니면 둘 다 수행해야 하며, 그렇다면 어떤 순서로 수행해야 합니까?

감사합니다 :-)

답변1

DNSSEC에서 상위 도메인은 하위 도메인에 서명해야 하는지 여부를 알려줍니다.

상위 도메인이 서명해서는 안 된다고 명시할 때 도메인이 서명된다면 이는 해롭지 않습니다. 그러나 부모가 도메인에 서명해야 한다고 말했지만 그렇지 않은 경우 합법적인 도메인 데이터가 위조된 것처럼 보입니다.

따라서 맨 위에서 시작하십시오. 먼저 등록 기관으로 이동하여 거기에서 키를 제거하십시오.

나중에 발생할 수 있는 가동 중지 시간을 최소화하려면 전환 시 수정해야 할 것으로 예상되는 NS, SOA 및 기타 DNS 레코드의 TTL 값을 1시간, 15분 또는 단 5분 정도로 줄일 수도 있습니다. DNS 호스팅 업체가 허용하는 경우.

일단 확인하시면 (DNSViz또는 유사) 도메인의 키를 지정하는 DS 레코드가 NSEC3 레코드로 대체되어 DNSSEC 거부(및 TTL 감소가 적용됨)를 나타냅니다.그리고 그때야현재 DNS 호스팅 업체로 이동하여 "DNSSEC 비활성화" 버튼을 눌러 영역에서 DNSSEC 레코드를 제거할 수 있습니다. 그러면 영역에서 나머지 DNSSEC 레코드가 정리되어 쉽게 마이그레이션할 수 있도록 DNS 데이터가 정리됩니다.

마이그레이션이 완료된 후 TTL 값을 다시 늘려 도메인 레코드를 보다 효율적으로 캐싱할 수 있습니다.

관련 정보