В продолжающейся саге: Network Solutions подтвердили мне, что с их стороны они не увидели никаких записей DNSSEC, связанных с доменом… так что… призрак в машине от предыдущего регистратора?
В любом случае, поскольку они не могут удалить то, чего нет, мы пытаемся добавить новые записи и надеемся, что они перезапишут призрачные и вернут всё туда, где оно должно быть.
Это, безусловно, самая странная проблема с DNS, которую я когда-либо видел.
Я должен согласиться 
Это nameserver домена верхнего уровня .org.
Настройка DNSSEC должна выполняться у вашего регистратора, так как, подобно glue-записям, DS-записи для вашего домена должны присутствовать на nameserverах TLD. Ваш DNS-провайдер не имеет над этим контроля.
Я всё ещё вижу эти записи:
pidforum.org. 86400 IN DS 30311 8 2 A75DEB1CF7CE3EE94899941C7E92B72A7E83A7B5DCD3717D6731804B 4D851E46
pidforum.org. 86400 IN RRSIG DS 8 2 86400 20211008152857 20210917142857 39681 org. goYqP/QgI0+8jN/pL3yVhZfeWAGXoibV/DHDduL+DWj47b9U18nRKctf OJB+TNznVcQeEtG67UM5O+nr5FmrfzowCHvgRsUaanVlo1nCXjlOg9eV KqZmkVcN2no1oklqbQBtN7GDqtX+G1BYmQCaIWbZ38PGBAnc2aQ0Ftr8 cAg=
;; Received 252 bytes from 199.19.53.1#53(c0.org.afilias-nst.info) in 93 ms
и анализатор всё ещё показывает ошибку:
Вам нужно настаивать на этом, пока они не найдут кого-то на своей стороне, кто исправит это — это ответственность регистратора привести всё в порядок.
Вы также можете добиться прогресса, поговорив с предыдущим регистратором и попросив их прекратить отправлять glue- и DS-записи для вашей зоны.
EDIT:
На данный момент опубликованные записи вашей зоны .org выглядят так:
pidforum.org. 86400 in ns lee.ns.cloudflare.com.
pidforum.org. 86400 in ns jillian.ns.cloudflare.com.
pidforum.org. 86400 in ds 30311 8 2 (a75deb1cf7ce3ee94899941c7e92b72a7e83a7b5dcd3717d6731804b4d851e46 )
pidforum.org. 86400 in rrsig ds 8 2 86400 20211005151127 20210914141127 39681 org. bDTwz7kYTRJXb7LuN1qj1mCBtiq0DMUM9dNzppGgR/+pTX6b0cWuMhFngI1zMk870aJU6BozFxwuv/AhUHl3y3/PHrjDOsSVA1SubPZM/tC/ylWSUexcVxVhQkQRLkpKPUlL61sZTX8VNca3MBWXx/kFSt7uThR0IYeW+2fQXqQ=
Сегодня утром я получил подтверждение, что предыдущий регистратор (Argeweb из Нидерландов) подтвердил, что они наконец удалили DS-записи для этого домена из своей системы.
Таким образом, на данный момент у меня есть регистратор Network Solutions, который подтвердил, что у них установлены правильные (новые) DS-записи от Cloudflare (имя сервера), а предыдущий регистратор (Argeweb) удалил свои записи.
Надеюсь, мне осталось только подождать, пока всё это распространится по всему миру. Подтверждение от NetSol и Cloudflare пришло поздно в среду, а подтверждение от Argeweb — сегодня утром. Возможно, в течение выходных всё синхронизируется. скрестил пальцы
Это должно занять не более суток.
В этом всем так много «долженствования»… Argeweb должен был отключить DNSSEC еще до передачи домена. Network Solutions должны были увидеть и отключить его на своей стороне при передаче.
«Долженствование» — проклятие всего этого проекта.
Я не знаю точно, какой интерфейс используется между регистратором и операторами корневого домена; отправляют ли они дельты или полные ежедневные обновления. Но они должны знать процесс и поступить правильно.
Аналогично, Network Solutions должна была импортировать предыдущие DS-записи в свой интерфейс при передаче зоны. Вероятно, они также перенесли NS-записи, но, возможно, вам пришлось предоставить их самостоятельно?
DNS сложно настроить правильно; DNSSEC — ещё сложнее.
Должен был / мог бы / хотел бы
По крайней мере, вы знаете, в чём проблема и как её исправить.
Поставщики почти всегда перекладывают вину на другого.
Я вижу, что сегодня DS-записи для pidforum.org не изменились.
Добавили ли вы правильные записи в интерфейс Network Solutions?
Да, правильные записи были добавлены в Network Solutions в конце прошлой недели, мы ждали всю неделю, но изменений нет. Неверная DS-запись 30311 всё ещё где-то скрывается, и никто не может её изменить.
Там можно увидеть как правильные, так и неправильные записи…
Правильная запись отсутствует на уровне .org, а именно это имеет значение.
Вам нужно настоять на том, чтобы Network Solutions опубликовала правильную запись.
Есть ли у вас скриншот этой части конфигурации вашего домена?
Network Solutions не предоставляет публичный административный интерфейс ни для одного аспекта DNSSEC. Существует лишь одна группа в службе поддержки, занимающаяся этим вопросом, и взаимодействовать с ней можно только по электронной почте.
Нет, я не шучу.
Сегодня мне удалось связаться с представителем одного из уровней поддержки, который, возможно, разбирается в теме. Он сообщил, что ответит мне в течение следующих 24–48 часов.
Это всё ещё не исправлено. Ой. Мне тебя жаль, @griffey
Я выполнил проверку здесь. Вы можете увидеть, где в результатах указан KeyTag 30311.
Ошибка: DNSKEY 2371 подписывает набор записей DNSKEY, но в родительской зоне не найден подтверждающий DS-запись. Цепочка доверия не создана.
Критическая ошибка: В родительской зоне есть подписанная DS-запись (Алгоритм 8, KeyTag 30311, DigestType 2, Digest p13rHPfOPulImZQcfpK3Kn6Dp7Xc03F9ZzGAS02FHkY=), но целевая DNSKEY-запись не существует или не подтверждает набор записей DNSKEY. Цепочка доверия не создана.
Проблема всё ещё не решена. Скажем так: Network Solutions абсолютно бесполезен, когда речь заходит о DNSSEC и сложных вопросах, связанных с доменами. Проблема точно в DNSSEC, и где-то в неведомых глубинах застрял один dSKEY (30311), который, похоже, никто не может удалить.
Перенесите свой домен в Google Cloud.
После этого вы сможете самостоятельно управлять настройками DNSSEC.
Как финальное обновление по этому вопросу… Результат не совсем удовлетворительный, но что-то очистилось, и домен начал распространяться. Неясно, что именно изменилось, так как я всё ещё вижу запись DSKEY 30311. Но что бы ни произошло на стороне регистратора, сейчас всё работает.
Спасибо за обновление