Não, não é suficiente apenas remover a configuração localmente em um servidor de nomes autoritativo .
DNSSEC é um sistema hierárquico, cadeia de confiança novamente DNS envenenamento de cache .
DNSSEC was designed to protect the Internet from certain attacks, such as DNS cache poisoning. It is a set of extensions to DNS, which provide: a) origin authentication of DNS data, b) data integrity, and c) authenticated denial of existence.
Exemplo de uma cadeia de confiança :
- A própria zona é assinada com a chave privada em seu servidor principal de nomes autoritativos , por exemplo
ns1.example.com.tem a chave privada para assinarexample.com. Acomexample.com. RRSIG A. - A chave pública de
example.com.foi enviada e confirmada pela autoridade paracom., que então a contém emexample.com. DS hasheexample.com. RRSID DScorrespondente, assinada com chave privada para.com. -
A chave pública de
com.foi enviada para e confirmada pela autoridade raiz , que a possui emcom. DS hashe correspondentecom. RRSID DS, assinada com chave raiz privada , ou seja, chave para., também conhecida como Âncora de Confiança da Zona Raiz :The Root Key Signing Key acts as the trust anchor for DNSSEC for the Domain Name System. This trust anchor is configured in DNSSEC-aware resolvers to facilitate validation of DNS data.
Você pode obter uma boa visualização de qualquer domínio com DNSViz . Também detecta erros de configuração.
Portanto, a autoridade responsável do TLD deve ser contatada, provavelmente por meio do registrador , e informada de que o DNSSEC deve ser desativado para o domínio. Eles desabilitarão o DNSSEC removendo o registro DS do encadeamento de seus servidores de nomes. Caso contrário, o DNSSEC ainda estará ativado, fazendo com que seu servidor de nomes autoritativo seja visto como um servidor de nomes invasores .