Использование DNSSEC с частным TLD
Я играю с DNSSEC для своего домена, мой DNS-сервер имеет двойное подключение (с подходящими ограничениями на то, что можно запрашивать в общедоступном интерфейсе) и охватывает оба мой общедоступный домен, но также и частный домен верхнего уровня (.loc), который я использую в своей локальной сети.
Я изо всех сил пытаюсь понять, как добавить запись DS для домена .loc в мою конфигурацию bind9. Поскольку это домен верхнего уровня, в нем обычно указываются корневые серверы.
Могу ли я добавить его в свой файл зоны перед оператором $ ORIGIN?
На самом деле нельзя добавить запись DS для чего-то, что не является частью дерева, так как для такой зоны нет правильной связи "родитель/ребенок".
Должна быть возможность использовать доверенные ключи на внутренних валидирующих преобразователях, чтобы переопределить ключи (или их отсутствие), указанные в DNS.
Однако стоит отметить, что просто выбрать произвольный ДВУ и использовать его внутри себя не является хорошей практикой. Тем более, что в настоящее время открыты затопляющие ворота и постоянно регистрируются новые публичные ДВУ
.