Consegui realmente me confundir aqui ao ativar o DNSSEC pela primeira vez.
Estou usando o mecanismo de computação do Google Cloud executando um site WordPress para hospedagem. Meu registrador de domínio tem seus servidores de nomes configurados para Cloudflare, que então direcionam de volta para o Google Cloud DNS (pelo menos é assim que presumo que funcione).
Como estou usando o Google Cloud DNS e o Cloudflare, estou tentando ativar o DNSSEC. Atualmente, ele está habilitado no GC e também no Cloudflare (e não tenho certeza se deveria habilitá-lo em ambos, mas está assim no momento), ele me deu dois registros DS separados para fornecer ao meu registrador de domínio (Um do GC e um do CF, claro que são diferentes).
Minha pergunta é: qual registro DS devo fornecer ao meu registrador de domínio - GC ou CF? Além disso, é seguro ou aconselhável ter ambos ativados e, se não, qual devo deixar ativado e qual devo desativar?
Além disso, se eu puder/devo deixar ambos ativados, devo pedir ao registrador para criar dois registros DS separados para ambos?
Até agora, forneci apenas o registro Cloudflare DS ao registrador e estou aguardando que eles o adicionem (já que essa é a única maneira de adicionar registros DS com eles).
Responder1
Não existem "rotas de volta" com DNS. Osignatário da delegação DSregistros (RFC 4034, 5) tem que ser para oservidores autorizadoslistado na zona pai. A delegação segura deve corresponder à NSdelegação.
Então, example.compoderia delegar o controle sub.example.comcom outro conjunto de registros NS. Nesse caso, example.comtambém pode ter outro conjunto de registros DS, mas comdeve ter apenas os registros DS da zona example.com.