未移除 DS 记录而转移域名所牵扯出的问题

如果你给域名开启了 DNSSEC,那么转移域名和修改 NS 记录时要注意啦,切记先将 DS 记录删除最保险!

DS 记录是用于开启 DNSSEC 认证的重要一步,增强了域名解析的安全性。DS 记录存放于该域名的上级区域 (Parent Zone),一般可由你的域名注册商直接控制。

这是一个从 Namesilo 转移域名到阿里云(万网)的过程中忘记删 DS 记录的真实经历。当然,我在转移域名前考虑到既然万网的域名控制面板不支持管理 DS 记录,就下意识认为我把域名转移到他们那里后,原来这条 DS 记录就不会存在了。却没有想到 DS 记录会跟随着域名转移。

但事实并非如此。过了几天,在我发现了 CloudFlare DNS 没能接入我的域名以及 Google Public DNS 无法解析我域名上的 A 记录时,我才意识到出了严重的问题。果不其然,查询到域名上仍然存在一条陌生的 DS 记录(这时的域名已经托管于万网)。

由于万网的控制台无法让用户自行管理 DS 记录,随即发了工单。和工单客服交谈还是蛮需要耐心的。一番周折后,与客服解释清楚原因。时间过去了三天,也许是因为正好遇到双休日的原因,工单进度比较缓慢。

中途也邮件咨询了 VeriSign 的客服,看他们能不能直接介入解决这个问题。嘛~直接介入也是不行的,还是要等待万网的操作。

星期一的下午,事情终于有了进展。阿里云技术人员打电话来和我确认了删除操作。让人魂牵梦绕的问题终于解决了ಠ_ಠ。

最后,推荐在线的一个域名检查工具 DNSViz,可以检查你的 DNSSEC 配置情况。