Я умудрился действительно запутаться, впервые включив DNSSEC.
Я использую вычислительный движок Google Cloud, на котором размещен сайт WordPress. У моего регистратора доменов установлены серверы имен Cloudflare, которые затем направляют обратно в Google Cloud DNS (по крайней мере, я так предполагаю).
Поскольку я использую и Google Cloud DNS, и Cloudflare, я пытаюсь включить DNSSEC. В настоящее время он включен как на GC, так и на Cloudflare (и я не уверен, что должен включать его на обоих, но на данный момент он включен), он дал мне две отдельные записи DS для передачи моему регистратору домена (одну от GC и одну от CF, конечно, они разные).
Мой вопрос: какую запись DS мне следует предоставить регистратору домена - GC или CF? Также, безопасно ли или целесообразно ли включать обе записи, и если нет, какую из них следует оставить включенной, а какую - отключить?
Кроме того, если я могу/должен оставить оба, следует ли мне попросить регистратора сделать две отдельные записи DS для них обоих?
Пока что я только передал регистратору запись Cloudflare DS и в настоящее время жду, когда они ее добавят (так как это единственный способ добавить записи DS у них).
решение1
В DNS нет такого понятия, как «обратные маршруты».делегирование подписавшего DSзаписи (RFC 4034, 5) должны быть дляавторитетные серверыперечислены в родительской зоне. Безопасное делегирование должно соответствовать NSделегированию.
Затем example.comможно делегировать управление sub.example.comс помощью другого набора записей NS. В этом случае example.comу может быть и другой набор записей DS, но у comдолжны быть только записи DS для зоны example.com.