example.com我们组织的一个分支向我们施加压力,要求我们实施 DNSSEC security.example.com:。
我们当前的名称服务器ns1.example.com是ns2.example.com未签名的非 dnssec 服务器。
我们想用ns1.example.com一个隐藏的主人和实施内联签名按照以下方式绑定:示例 #2。我们新的启用 DNSSEC 的服务器example.com将是dns1.example.com和dns2.example.com。
我们希望将DS记录发布给.com注册商,以便我们可以内部测试新的 DNSSEC 服务器。将SOA保留ns1.example.com(并且NS记录暂时不包括 DNSSEC 服务器)。
我的问题是:
如果我们为 DNSSEC 服务器发布DS记录,当 dnssec 验证 DNS 服务器意识到或.com上没有 DNSSEC 功能时,它们是否会中断?ns1.example.comns2.example.com
和
对于这种混合设置,我们还应该注意其他副作用吗?
答案1
如果您在 tld 区域中发布 DS 记录,并且您的公共名称服务器不支持 DNSSEC,那么您的记录将无法通过验证。