Как удалить поддержку DNSSEC из домена?

Нет, недостаточно просто удалить конфигурацию локально на полномочном сервере имен .

DNSSEC - это иерархическая система, цепочка доверия против DNS отравления кеша .

DNSSEC был разработан для защиты Интернета от определенных атак , таких как как отравление кеша DNS. Это набор расширений DNS, которые обеспечивать: а) аутентификацию источника данных DNS, б) целостность данных, и c) подтвержденное отрицание существования.

Пример цепочки доверия :

1. Сама зона подписана закрытым ключом на вашем основном полномочном сервере имен , например ns1.example.com. имеет закрытый ключ для подписи example.com. A с example.com. RRSIG A .
2. Открытый ключ example.com. был отправлен и подтвержден администратором com. , который затем размещен на example.com. Хеш DS и соответствующий example.com. RRSID DS , подписанный закрытым ключом для .com.

3. Открытый ключ из com. был отправлен и подтвержден корневым органом , который затем хранит его в com. DS hash и соответствующий com. RRSID DS ,подписан закрытым корневым ключом , то есть ключом для . , он же Якорь доверия корневой зоны :

   Ключ подписи корневого ключа действует как якорь доверия для DNSSEC для в Система доменных имен. Этот якорь доверия настроен с учетом DNSSEC. преобразователи для облегчения проверки данных DNS.

Вы можете получить хорошую визуализацию любого домена с DNSViz . Он также обнаруживает ошибки конфигурации.

Следовательно, необходимо связаться с органом, ответственным за TLD, возможно, через регистратора , и сообщить, что DNSSEC следует отключить для домена. Они отключат DNSSEC, удалив запись цепочки DS со своих серверов имен. В противном случае DNSSEC все равно будет включен, в результате чего ваш полномочный сервер имен будет рассматриваться как мошеннический сервер имен .