web-dev-qa-db-ja.com

パブリックゾーンに署名せずにDNSSEC DSレコードを公開することの影響?

私たちexample.comは、組織の下位部門であるsecurity.example.comからDNSSECを実装するよう圧力をかけられています。

現在のネームサーバーns1.example.comおよびns2.example.comは、署名されていない非dnssecサーバーです。

ns1.example.comを非表示のマスターとして使用し、次のようにバインドでインライン署名を実装します。 例#2 =。 example.com用の新しいDNSSEC対応サーバーはdns1.example.comdns2.example.comになります。

新しいDNSSECサーバーを内部でテストできるように、DSレコードを.comレジストラに公開したいと思います。 SOAns1.example.comのままになります(そして、NSレコードには当面DNSSECサーバーは含まれません)。

私の質問は:

DNSSECサーバーのDSレコードを.comに公開する場合、ns1.example.comまたはns2.example.comにDNSSEC機能がないことに気付いたときに、dnssec検証DNSサーバーが機能しなくなりますか?

[〜#〜]および[〜#〜]

このハイブリッドセットアップで注意すべき他の副作用はありますか?

1
Daniel Widrick

DSレコードをtldゾーンで公開し、パブリックネームサーバーがDNSSECをサポートしていない場合、レコードは検証に失敗します。

3
Mark Sturgill