第一次啟用 DNSSEC 時,我真的很困惑。
我正在使用 Google Cloud 運算引擎執行 WordPress 網站進行託管。我的網域註冊商將其名稱伺服器設定為 Cloudflare,然後路由回 Google Cloud DNS(至少我認為它是這樣運作的)。
由於我同時使用 Google Cloud DNS 和 Cloudflare,因此我嘗試啟用 DNSSEC。目前,我在GC 和Cloudflare 上都啟用了它(我不確定是否應該在兩者上都啟用它,但目前就這樣),它給了我兩個單獨的DS 記錄以提供給我的域名註冊商(一個來自 GC 和來自 CF,當然它們是不同的)。
我的問題是,我應該向我的網域註冊商提供哪筆 DS 記錄 - GC 還是 CF?另外,將兩者都打開是否安全或建議打開,如果不安全,我應該打開哪一個,哪一個應該關閉?
另外,如果我可以/應該將兩者都打開 - 我是否應該要求註冊商為它們建立兩個單獨的 DS 記錄?
到目前為止,我只向註冊商提供了 Cloudflare DS 記錄,目前正在等待他們添加它(因為這是添加 DS 記錄的唯一方法)。
答案1
DNS 不存在「路由回傳」之類的東西。這委託簽名人 DS記錄 (RFC 4034, 5)必須是為了權威伺服器在父區域列出。安全委派必須與NS委派相符。
然後,example.com可以將控制權委託sub.example.com給另一組 NS 記錄。在這種情況下,example.com可能還有另一組 DS 記錄,但 應該com只具有 zone 的 DS 記錄example.com。