DNSSEC - Google Cloud и Cloudflare - Какую запись DS я передаю регистратору?
Мне удалось по-настоящему запутать себя, впервые включив DNSSEC.
Я использую вычислительный движок Google Cloud, на котором запущен веб-сайт WordPress для хостинга. У моего регистратора доменов есть серверы имен, настроенные на Cloudflare, которые затем направляются обратно в Google Cloud DNS (по крайней мере, так, как я предполагаю, это работает).
Поскольку я использую и Google Cloud DNS, и Cloudflare, я пытаюсь включить DNSSEC. В настоящее время у меня он включен как на GC, так и на Cloudflare (и я не уверен, что он должен быть включен на обоих, но на данный момент он есть), он предоставил мне две отдельные записи DS, которые я могу передать моему регистратору домена (одна от GC и от CF, конечно, они разные).
Мой вопрос: какую запись DS я должен передать регистратору домена - GC или CF? Кроме того, безопасно или рекомендуется включать оба параметра, и если нет, какой из них я должен оставить включенным, а какой - выключить?
Кроме того, если я могу / должен оставить оба включенными - следует ли мне тогда спросить у регистратору сделать две отдельные записи DS для них обоих?
Пока я передал регистратору только запись DS Cloudflare и в настоящее время жду, чтобы они добавили ее (поскольку это единственный способ добавить записи DS с ними).
В DNS нет такого понятия, как «обратные маршруты». Записи подписавшего делегацию DS (RFC 4034, 5) должны относиться к авторизованным серверам, перечисленным в родительской зоне. Безопасное делегирование должно соответствовать делегированию NS.
Затем example.com может делегировать контроль над sub.example.com с помощью другого набора NS-записей. В этом случае example.com также может иметь другой набор записей DS, но com должен иметь только записи DS для зоны example.com. ].