Все.
Потому что у родителя есть запись DS
, которая, в общем, является хэшем KSK. Следовательно, при следовании по цепочке доверия рекурсивное разрешение будет извлекать эту запись DS
из родителя и извлекать запись DNSKEY
из дочернего элемента и проверять, что в записи DNSKEY
есть хотя бы один ключ, соответствующий DS
запишите, а затем продолжите проверку (или сразу же провалите ее).
Согласно §2.1.1. В RFC4034 каждая запись DNSKEY
имеет атрибут flags, который позволяет распознавателю узнать, предназначен ли данный криптографический материал для ключа зоны или ключа подписи ключа.
Обратите внимание, что разделение KSK/ZSK является распространенным, но не единственным случаем. У вас также есть ситуация CSK с C = Common, где у вас есть один ключ, который сразу подписывает все другие записи, а также имеет совпадающую запись DS
в родительском элементе.
Оба варианта допустимы, но имеют разные преимущества и недостатки.
Также обратите внимание, что набор записей DNSKEY
может даже содержать ключи, еще не использованные для подписи и не являющиеся родительскими в записи DS
, что происходит, например, во время ротации (вам сначала нужно ввести ключ в зону и позволить распознавателям кэшировать ее, затем через некоторое время вы можете начать подписывать с ней, а затем снова через некоторое время вы можете включить соответствующую запись DS
при необходимости).