En la saga que continúa: Network Solutions me confirmó que no vieron ningún registro DNSSEC asociado al dominio de su parte… así que… ¿un fantasma en la máquina del registrador anterior?
En cualquier caso, como no pueden borrar lo que no existe, estamos intentando agregar nuevos registros y esperamos que estos sobrescriban los fantasmales y restablezcan todo a donde debería estar.
Este es, con mucho, el problema de DNS más extraño que he visto jamás.
Tengo que estar de acuerdo 
Ese es un servidor de nombres .org.
Los controles de DNSSEC deben realizarse en tu registrador, ya que, al igual que los registros glue, los registros DS de tu dominio deben estar presentes en los servidores de nombres del TLD. Tu proveedor de DNS no tendrá control sobre eso.
Aún veo los registros presentes allí:
pidforum.org. 86400 IN DS 30311 8 2 A75DEB1CF7CE3EE94899941C7E92B72A7E83A7B5DCD3717D6731804B 4D851E46
pidforum.org. 86400 IN RRSIG DS 8 2 86400 20211008152857 20210917142857 39681 org. goYqP/QgI0+8jN/pL3yVhZfeWAGXoibV/DHDduL+DWj47b9U18nRKctf OJB+TNznVcQeEtG67UM5O+nr5FmrfzowCHvgRsUaanVlo1nCXjlOg9eV KqZmkVcN2no1oklqbQBtN7GDqtX+G1BYmQCaIWbZ38PGBAnc2aQ0Ftr8 cAg=
;; Received 252 bytes from 199.19.53.1#53(c0.org.afilias-nst.info) in 93 ms
y el analizador sigue mostrando un error:
Necesitas insistirles hasta que consigan que alguien de su lado solucione esto; es responsabilidad del registrador corregirlo.
También podrías avanzar hablando con el registrador anterior y pidiéndoles que dejen de enviar registros glue y DS para tu zona.
EDITO:
En este momento, los registros de tu zona .org publicados son:
pidforum.org. 86400 in ns lee.ns.cloudflare.com.
pidforum.org. 86400 in ns jillian.ns.cloudflare.com.
pidforum.org. 86400 in ds 30311 8 2 (a75deb1cf7ce3ee94899941c7e92b72a7e83a7b5dcd3717d6731804b4d851e46 )
pidforum.org. 86400 in rrsig ds 8 2 86400 20211005151127 20210914141127 39681 org. bDTwz7kYTRJXb7LuN1qj1mCBtiq0DMUM9dNzppGgR/+pTX6b0cWuMhFngI1zMk870aJU6BozFxwuv/AhUHl3y3/PHrjDOsSVA1SubPZM/tC/ylWSUexcVxVhQkQRLkpKPUlL61sZTX8VNca3MBWXx/kFSt7uThR0IYeW+2fQXqQ=
Esta mañana recibí confirmación de que el registrador anterior (Argeweb, en los Países Bajos) finalmente eliminó los registros DS de este dominio de su sistema.
Por lo tanto, en este momento tengo a Network Solutions (el registrador), que ha confirmado que los registros DS correctos (nuevos) de Cloudflare (servidor de nombres) están en su lugar, y que el registrador anterior (Argeweb) ha eliminado sus registros.
Espero que solo tenga que esperar a que todo esto se estabilice a nivel mundial. La confirmación de NetSol y Cloudflare llegó tarde el miércoles, y la de Argeweb esta mañana. Quizás durante el fin de semana todo se reconcilie. cruzo los dedos
No debería tomar más de un día.
Hay mucho “debería” en todo esto… Argeweb debería haber desactivado DNSSEC antes de transferir el dominio desde el principio. Network Solutions debería haber podido verlo y desactivarlo desde su lado al recibir la transferencia.
El “debería” es la maldición de todo este proyecto.
No sé exactamente cuál es la interfaz entre el registrador y los operadores de la zona raíz; si envían deltas o actualizaciones completas diarias. Pero deberían conocer el proceso y haber hecho lo correcto.
De igual forma, Network Solutions debería haber importado los registros DS anteriores a su interfaz cuando transferiste la zona. Asumo que también transfirieron los registros NS, pero ¿quizás tuviste que proporcionarlos tú?
DNS es complicado de configurar correctamente; DNSSEC, aún más.
Debería haber / podría haber / habría
Al menos sabes cuál es el problema y cómo solucionarlo.
Los proveedores casi siempre culparán a la otra persona.
Veo que hoy los datos DS de pidforum.org no han cambiado.
¿Has añadido los registros correctos en la interfaz de Network Solutions?
Sí, se añadieron los registros correctos a Network Solutions la semana pasada, pero tras esperar todo el fin de semana… no hubo cambios. El registro DS erróneo 30311 sigue escondido en algún lugar, y nadie parece poder modificarlo.
Puedes ver tanto los registros correctos como los incorrectos en esa página…
El registro correcto no está presente a nivel de .org, que es donde importa.
Necesitas presionar a Network Solutions para que publique el registro correcto.
¿Tienes una captura de pantalla de esa parte de tu configuración de dominio?
Network Solutions no ofrece un panel de administración público para ningún aspecto de DNSSEC. Solo hay un grupo dentro del equipo de soporte que se ocupa de ello, y debes interactuar con ellos por correo electrónico.
No, no estoy bromeando.
Hoy logré contactar con algún nivel de soporte que quizás tenía alguna idea, y me dijeron que tendrían una respuesta para mí en las próximas 24 a 48 horas.
esto aún no está resuelto. ay, entiendo tu dolor @griffey
He realizado una comprobación aquí. Puedes ver dónde se encuentra el KeyTag 30311 en los resultados.
Error: DNSKEY 2371 firma el conjunto de registros RR DNSKEY, pero no se encontró ningún RR DS de confirmación en la zona principal. No se ha creado ninguna cadena de confianza.
Error fatal: La zona principal tiene un RR DS firmado (Algoritmo 8, KeyTag 30311, DigestType 2, Digest p13rHPfOPulImZQcfpK3Kn6Dp7Xc03F9ZzGAS02FHkY=), pero el DNSKEY de destino no existe o no valida el conjunto de registros RR DNSKEY. No se ha creado ninguna cadena de confianza.
Aún no está resuelto. Digamos que Network Solutions es absolutamente inútil cuando se trata de DNSSEC y problemas complejos de dominio. Definitivamente se trata de DNSSEC y hay una dSKEY (30311) que está atrapada en algún lugar del limbo y nadie parece creer que pueda eliminarla.
mueva su dominio a Google Cloud.
luego podrá controlar usted mismo la configuración de DNSSEC
Como actualización final sobre esto… No es del todo satisfactorio, pero algo se solucionó y el dominio comenzó a propagarse. No está claro exactamente qué cambió, ya que aún puedo ver la entrada DSKEY 30311. Pero sea lo que sea que ocurrió por parte del registrador, ahora funciona.
Gracias por la actualización