当我使用不支持 DNSSEC 的域名服务器时,由于父区域中存在 DS 记录,我的网站目前无法访问。请参阅这个问题了解更多背景信息。
我使用 Amazon Route 53 作为我的注册商,但我找不到使用界面删除 DS 记录的方法。我尝试了以下步骤,但没有成功。
- 最初我使用的是 Amazon Route 53 名称服务器,它不支持 DNSSEC。因此在“DNSSEC 状态”部分中,它显示“如果您使用 Route 53 以外的 DNS 服务提供商,并且 TLD 注册表支持 DNSSEC,则可以从域的 TLD 注册表中添加和删除公钥。”
- 我将名称服务器更改为 Cloudflare 的。
- 我添加了一个公钥
- 我删除了公钥。
- 我将域名服务器改回亚马逊的
然而这并没有起作用。“dig ds markfisher.photo”仍然显示 DS 记录,我的网站仍然无法访问。
我如何删除 DS 记录?我无法转移到另一个注册商,因为我在过去 60 天内将域名转移到了 Amazon(事实上是最近)。此外,我没有 AWS 支持包,因此无法获得人工帮助 :(
也许我需要在执行上述步骤之间等待更长时间吗?
答案1
上层区域中的 DS(和 NS)记录是注册商端设置的结果,而不是直接与其相关的 DNS 区域的一部分。特别是对于 DS 记录,“魔法”是关键字禁用 DNSSEC - 一旦您为区域启用 DNSSEC,其中一个步骤就是提供 DS 记录。
DNSSEC 设置的 AWS 文档(2020 年 1 月 8 日):
删除域的公钥
当您轮换密钥或为域禁用 DNSSEC 时,请先按照以下步骤删除公钥,然后再使用 DNS 服务提供商禁用 DNSSEC。我们建议您在轮换密钥或使用 DNS 服务提供商禁用 DNSSEC 后等待最多三天再删除公钥。请注意以下事项:
- 如果您正在轮换公钥,我们建议您在添加新公钥后等待最多三天再删除旧公钥。
- 如果您要禁用 DNSSEC,请先删除域的公钥。我们建议您等待最多三天,然后再使用该域的 DNS 服务禁用 DNSSEC。
重要的
- 如果为域启用了 DNSSEC,并且您使用 DNS 服务禁用 DNSSEC,则支持 DNSSEC 的 DNS 解析器将向客户端返回 SERVFAIL 错误,并且客户端将无法访问与域关联的端点。
删除域的公钥
- 登录 AWS 管理控制台并打开 Route 53 控制台https://console.aws.amazon.com/route53/。
- 在导航窗格中,选择已注册域。
- 选择您要从中删除密钥的域的名称。
- 在 DNSSEC 状态字段中,选择管理密钥。
找到要删除的密钥,然后选择删除。
- 注意:您一次只能删除一个公钥。如果您需要删除更多密钥,请等到收到来自 Amazon Route 53 的确认电子邮件。
当 Route 53 收到来自注册中心的响应时,我们会向该域的注册联系人发送一封电子邮件。该电子邮件要么确认公钥已从注册中心的域中删除,要么解释无法删除密钥的原因。