DNSSECを有効にしてネームサーバーを変更するための推奨手順は何ですか?
DNSSEC DSレコードとDNSSECを無効にし、それを伝搬させ、それがうまく伝搬した後にのみネームサーバーを変更する必要がありますか?
DNSSECを使用する場合、あるDNSプロバイダーから別のDNSプロバイダーに切り替えるときは、移行中にDNS解決が継続されるように予防策を講じる必要があります。
DSレコードは、ゾーンの署名に使用される特定のDNSSECキーに関連付けられています。 DNSSECプロバイダーからDNSSECをサポートしないプロバイダーに移行する場合、切り替える前にDSレコードを削除する必要があります。
DNSSECを使用するDNSプロバイダーからDNSSECを使用する別のDNSプロバイダーに切り替える場合も、同じ規則が適用されます。最初にDSレコードを削除し、新しいDNSプロバイダーに移行してから、ドメインのレジストリネームサーバーに追加できる新しいDSレコードを提供する必要があります。
is DNSSEC伝播遅延があることがわかったので、アプローチは次のとおりです。
- レジストラでDNSSECを無効にする
- 24時間待つ
- ネームサーバーでDNSSECを無効にする
- ネームサーバーの切り替え
これは私が探していた答えであり、最終的には他のリソースで見つけました。
Google Cloud DNSまたはDNSSEC転送状態をサポートする別のNSに切り替える場合、着信NSのDNSSECを転送状態に設定して、安全なままダウンタイムなしで切り替えることができます。基本的に、手順は以前のNSと同じ署名を使用してから、レジストラにDSを追加します。 DNSSECがレジストラではなくNSで有効になっている場合、解決は名目上行われます。これはダウンタイムを防ぐための鍵です。
ドキュメントから:
google Cloud DNSが既に使用中の同じKSKアルゴリズムをサポートしていることを確認してください。そうでない場合は、ドメインレジストラーでDNSSECを無効にしてから、ゾーンを移行し、レジストラーでネームサーバーレコードを更新して、クラウドDNSネームサーバーを使用します。
既存のKSKおよびZSKアルゴリズムがGoogle Cloud DNSでサポートされている場合、次の手順に従ってDNSSECを有効にして移行を実行できます。
DNSSEC「転送」状態で新しいDNSSEC署名ゾーンを作成します。転送状態を使用すると、DNSKEYをゾーンに手動でコピーできます。
転送ポップアップから:
転送状態に入ると、DNSSECはこのゾーンに対して有効のままになりますが、転送状態のみです。転送状態を使用すると、DNSSECを有効にしたまま、Google Cloud DNSと別のDNSプロバイダーの間でDNSゾーンを移行できます。
転送状態に入るのは安全です。 Google Cloud DNSは引き続きゾーンを提供し、必要に応じてDNSSEC署名を再生成します。ただし、ゾーンを無期限に転送状態のままにしないでください。 DNSSECゾーン署名キー(ZSK)は転送状態にある間はローテーションされないため、時間の経過とともにゾーンのセキュリティが低下します。