为了避免将 DK 域名加入 CloudFlare 时出现离线时间,我阅读了有关禁用 DNSSEC 的说明:https://developers.cloudflare.com/dns/dnssec/
哪里说:
如果您要将现有域名加入 Cloudflare,请确保注册商(您购买域名的地方)已禁用 DNSSEC。否则,当您更改名称服务器时,您的域名将遇到连接错误。
但我对他们的措辞仍不确定。
域名注册商是https://punktum.dk(这也是 DK 域的 TLD)并且它们有一个 DNSSEC 部分,您可以在其中创建、导入和删除 DNSSEC 密钥。
DNS 托管在 dandomain.dk,并且其仪表板上与 DNS 区域一起有一个 DNSSEC 禁用按钮。
那么,为了避免停机,我是否应该先前往 Punktum.dk 并在那里删除 DNSSEC 密钥,然后等待 1-3 天再将名称服务器更新到 CloudFlare?
或者我去 Dandomain.dk(DNS 托管商)并在那里禁用 DNSSEC,然后等待 1-3 天,然后再将名称服务器更新到 CloudFlare?
或者我需要同时做这两件事,如果是的话,按什么顺序做?
谢谢 :-)
答案1
在 DNSSEC 中,较高级别的域名会告知其子域名是否应该被签名。
如果您的域名已签名但其父域名表示不应签名,这无害;但如果父域名表示应该签名但实际上并未签名,这会使您的合法域名数据看起来像是伪造的。
因此从顶部开始:首先去注册处,然后在那里删除密钥。
为了最大限度地减少以后可能的停机时间,您可能还希望减少 NS、SOA 和您预计在切换时需要修改的任何其他 DNS 记录的 TTL 值 - 如果您的 DNS 托管商允许,可以将其缩短至 1 小时 15 分钟甚至仅仅 5 分钟。
一旦你可以确认(使用DNSViz或类似信息)指定您域名的密钥的 DS 记录已被 NSEC3 记录取代,以表明 DNSSEC 选择退出(并且任何 TTL 减少都已生效),然后只有那时您可以从区域中删除 DNSSEC 记录(通过转到您当前的 DNS 托管商并按下其“禁用 DNSSEC”按钮)。这应该会清除区域中剩余的 DNSSEC 记录,整理 DNS 数据以便于迁移。
迁移完成后,您可以再次增加 TTL 值,以便更有效地缓存域的记录。