我第一次启用 DNSSEC 时确实感到很困惑。
我正在使用 Google Cloud 计算引擎运行 WordPress 网站进行托管。我的域名注册商将其名称服务器设置为 Cloudflare,然后将其路由回 Google Cloud DNS(至少我认为它是这样的)。
由于我同时使用 Google Cloud DNS 和 Cloudflare,因此我尝试启用 DNSSEC。目前,我在 GC 和 Cloudflare 上都启用了它(我不确定是否应该在两者上都启用它,但目前是这样),它为我提供了两个单独的 DS 记录以提供给我的域名注册商(一个来自 GC,一个来自 CF,当然它们是不同的)。
我的问题是,我应该将哪个 DS 记录提供给我的域名注册商 - GC 还是 CF?另外,将两者都设置为开启是否安全或建议?如果不安全,我应该将哪一个保留为开启状态,将哪一个设置为关闭状态?
此外,如果我可以/应该保留两者 - 那么我是否应该要求注册员为它们两者制作两个单独的 DS 记录?
到目前为止,我只将 Cloudflare DS 记录提供给注册商,目前正在等待他们添加它(因为这是向他们添加 DS 记录的唯一方法)。
答案1
DNS 中不存在“路由返回”这一概念。委托签名者 DS记录 (RFC 4034,5)必须是为了权威服务器父区域中列出的域。安全委派必须与NS委派相匹配。
然后,example.com可以用另一组 NS 记录委托控制权sub.example.com。在这种情况下,example.com可能还有另一组 DS 记录,但应该com只具有该区域的 DS 记录example.com。