Не удается настроить DNSSEC, нарушена цепочка доверия
Я пытаюсь установить DNSSEC в своем домене, и у меня возникла проблема. При проверке конфигурации на следующем сайте я получаю сообщение об ошибке:
http://dnscheck.pingdom.com/troubleshooting.php?domain=dontgetlemon.eu
Broken chain of trust for dontgetlemon.eu - DNSKEY found at child, but no DS was found at parent.
The child seems to use DNSSEC, but the parent has no secure delegation. Because of this, the chain of trust between the parent and the child is broken and validating resolvers will not be able to validate answers from the child.
Я не совсем уверен, что здесь делать, у меня мало опыта в настройке.
Теперь позвольте мне немного объяснить настройку:
- Регистратором домена является cloudns.net.
- Я использую cloudflare для домена
- У меня есть Cloudflare NS в панели регистратора
- Я добавил запись TXT для настройки DS и DNSKEY в панели регистратора. У моего регистратора нет DNSKEY / DS / NSEC
Мои записи TXT выглядят так: 
Я также проверил свою настройку, используя эти: http://dnsviz.net/d/dontgetlemon.eu/dnssec/ http://dnssec-debugger.verisignlabs.com/dontgetlemon.eu
Как правило, DNSSEC нельзя настроить на вашем dontgetlemon.eu только зона, но она должна быть добавлена к родительской .eu зона тоже. Как объясняет отладчик DNSSEC Verisign Labs:
Для dontgetlemon.eu в зоне ес не найдено записей DS.
Данные родительской зоны должны включать записи DS для дочерней зоны. Чтобы исправить это, лицо, подписавшее
dontgetlemon.euзона должна послать текущийDSзаписи вeu.
DNSSEC должен быть включен через вашего регистратора. Они просят .eu подпиши свой DS с их собственным ключом, делая цепь доверия полный.
Вы заявляете, что ClouDNS является вашим регистратором, а ClouDNS, похоже, не поддерживает DNSSEC для мастер т.е. первичный зоны. Это может быть проблемой, если вы используете их в качестве регистратора или поставщика DNS.
Вопрос: Вы поддерживаете DNSSEC?
О: Да, мы поддерживаем его для зон Slave / Backup / Secondary DNS.
Однако, как сообщает whoisdb, ваш регистратор на самом деле является реестром Public Domain.
Registrar:
Name: PDR Ltd.
Website: http://www.publicdomainregistry.com
Вроде у них есть поддержка, но сейчас инструкции недоступны (HSTS и недействительный CN).