Назад | Перейти на главную страницу

Как удалить запись DS из родительской зоны с помощью Amazon Route 53?

Мой веб-сайт в настоящее время недоступен из-за наличия записи DS в родительской зоне, когда я использую серверы имен, которые не поддерживают DNSSEC. Видеть этот вопрос для большего контекста.

Я использую Amazon Route 53 в качестве регистратора и не вижу способа удалить запись DS с помощью интерфейса. Я попробовал выполнить следующие действия, но это не сработало.

  1. Изначально я использовал серверы имен Amazon Route 53, которые не поддерживают DNSSEC. Поэтому в разделе «Статус DNSSEC» сказано: «Если вы используете поставщика услуг DNS, отличного от Route 53, и если реестр TLD поддерживает DNSSEC, вы можете добавлять и удалять открытые ключи из реестра TLD для домена».
  2. Я поменял намсерверы на Cloudflare.
  3. Я добавил публичный ключ
  4. Я удалил открытый ключ.
  5. Я изменил серверы имен обратно на Amazon

Однако это не сработало. «dig ds markfisher.photo» по-прежнему показывает запись DS, а мой веб-сайт по-прежнему недоступен.

Как я могу удалить запись DS? Я не могу перейти к другому регистратору, так как я перенес домен на Amazon в течение последних 60 дней (на самом деле, намного позже). Также у меня нет пакета поддержки с AWS, поэтому я не могу получить помощь человека :(

Возможно, мне нужно больше ждать между выполнением вышеуказанных шагов?

Запись DS (и NS) в верхней зоне является результатом настройки на стороне регистратора, а не непосредственно в той части зоны DNS, с которой она связана. Специально для записи DS «магией» является ключевое слово, отключающее DNSSEC - как только вы включаете DNSSEC для зоны, одним из шагов является предоставление записи (записей) DS.

Документ AWS для настройки DNSSEC (8 января 2020 г.):

Удаление открытых ключей для домена

Когда вы меняете ключи или отключаете DNSSEC для домена, удалите открытые ключи, используя следующую процедуру, прежде чем отключать DNSSEC у поставщика услуг DNS. Мы рекомендуем подождать до трех дней, чтобы удалить открытые ключи после ротации ключей или отключения DNSSEC у поставщика услуг DNS. Обратите внимание на следующее:

  • Если вы меняете открытые ключи, мы рекомендуем подождать до трех дней после добавления новых открытых ключей, чтобы удалить старые открытые ключи.
  • Если вы отключаете DNSSEC, сначала удалите открытые ключи для домена. Мы рекомендуем подождать до трех дней, прежде чем отключать DNSSEC со службой DNS для домена.

Важный

  • Если DNSSEC включен для домена и вы отключите DNSSEC с помощью службы DNS, преобразователи DNS, поддерживающие DNSSEC, будут возвращать клиентам ошибку SERVFAIL, и клиенты не смогут получить доступ к конечным точкам, связанным с доменом.

Чтобы удалить открытые ключи для домена

  1. Войдите в Консоль управления AWS и откройте консоль Route 53 по адресу https://console.aws.amazon.com/route53/.
  2. На панели навигации выберите Зарегистрированные домены.
  3. Выберите имя домена, из которого вы хотите удалить ключи.
  4. В поле состояния DNSSEC выберите Управление ключами.

  5. Найдите ключ, который вы хотите удалить, и выберите «Удалить».

    • Примечание. Вы можете удалить только один открытый ключ за раз. Если вам нужно удалить другие ключи, дождитесь получения электронного письма с подтверждением от Amazon Route 53.

  6. Когда Route 53 получает ответ от реестра, мы отправляем электронное письмо контактному лицу регистранта для домена. В письме либо подтверждается, что открытый ключ был удален из домена в реестре, либо объясняется, почему этот ключ не удалось удалить.