Как лучше всего отключить DNSSEC перед подключением к CloudFlare?

Как лучше всего отключить DNSSEC перед подключением к CloudFlare?

Чтобы избежать простоя домена DK в автономном режиме при его подключении к CloudFlare, я прочитал следующее об отключении DNSSEC:https://developers.cloudflare.com/dns/dnssec/

Где написано:

Если вы подключаете существующий домен к Cloudflare, убедитесь, что DNSSEC отключен у вашего регистратора (у которого вы приобрели доменное имя). В противном случае ваш домен будет испытывать ошибки подключения при смене серверов имен.

Но я все еще не уверен из-за их формулировок.

Регистратор домена —https://punktum.dk(который также является TLD для доменов DK) и у них есть раздел DNSSEC, где вы можете создавать, импортировать и удалять ключи DNSSEC.

DNS размещен на dandomain.dk, а на панели управления есть кнопка отключения DNSSEC, а также зоны DNS.

Итак, чтобы избежать простоя, мне сначала зайти на Punktum.dk и удалить ключи DNSSEC там, а затем подождать 1–3 дня, прежде чем выполнять обновление сервера имен в CloudFlare?

Или мне зайти на Dandomain.dk (DNS-хостер), отключить там DNSSEC и подождать 1-3 дня, прежде чем обновлять сервер имен в CloudFlare?

Или мне нужно сделать и то, и другое, и если да, то в каком порядке?

Спасибо :-)

решение1

В DNSSEC домен более высокого уровня сообщает, следует ли подписывать его поддомен(ы).

Если ваш домен подписан, хотя родительский домен заявляет, что он не должен быть подписан, это безвредно; но если родительский домен заявляет, что домен должен быть подписан, но это не так, это делает данные вашего законного домена поддельными.

Итак, начните сверху: сначала идите к регистратору и выньте ключи там.

Чтобы свести к минимуму возможное время простоя в дальнейшем, вы также можете уменьшить значения TTL ваших NS, SOA и любых других записей DNS, которые, как вы ожидаете, должны быть изменены при переходе, — до одного часа, 15 минут или даже 5 минут, если это позволяет ваш DNS-хостер.

Как только вы сможете подтвердить (с помощьюDNSVizили аналогичная) что запись DS, указывающая ключ(и) вашего домена, была заменена записью NSEC3, чтобы указать на отказ от DNSSEC (и любое сокращение TTL вступило в силу), тои только тогдавы можете удалить записи DNSSEC из ваших зон (перейдя к вашему текущему DNS-хостеру и нажав кнопку «отключить DNSSEC»). Это должно очистить оставшиеся записи DNSSEC из ваших зон, приведя в порядок данные DNS для легкой миграции.

После завершения миграции вы можете снова увеличить значения TTL, чтобы обеспечить более эффективное кэширование записей вашего домена.

Связанный контент