Seu domínio tem o registro DS
(em sua zona pai):
dig yippie.nl DS
;; ANSWER SECTION:
yippie.nl. 7181 IN DS 47534 8 2 07DF0CFD5F01119819B8319F7FEE01F7B8121EA11AB5BDEA765F5396 BB5B9CD1
e não tem o registro DNSKEY
:
dig yippie.nl DNSKEY
(no answer section)
E não é assinado com o DNSSEC (nenhum registro RRSIG).
O DNS público do Google verifica o DNSSEC e, como seu domínio afirma ter DNSSEC (registro do DS), mas realmente não está assinado, qualquer resolvedor com reconhecimento de DNSSEC considera isso falso. Atualmente, a maioria dos resolvedores de DNS ainda ignora o DNSSEC, mas o Google é um dos que já começaram a verificar o DNSSEC.
A Verisign fornece uma ferramenta de verificação DNSSEC muito útil
Para corrigir a situação,
-
Remova o registro
DS
do seu domínio da zona pai. -
Faça a zona devidamente assinada com
DNSKEY
que corresponde ao registroDS
você já tem. (O Amazon Route 53 não suporta DNSSEC , assim você terá que hospedar a zona por conta própria ou usar outro provedor.) Em qualquer caso, você pode fazer isso apenas se possuir uma chave que corresponda ao DS existente. -
Assinar a zona com um novo DNSKEY e substituir o registro DS antigo por aquele que corresponde ao DNKSEY que você usa. Consulte meu guia em vídeo aqui ( refere-se a um serviço proprietário ao qual sou afiliado .)