Se você publicar registros do DS na zona tld e seus servidores de nome público não forem compatíveis com DNSSEC, seus registros falharão na validação.
Nós, example.com , estamos sendo pressionados a implementar o DNSSEC por meio de uma subdivisão de nossa organização: security.example.com .
Nossos servidores de nomes atuais ns1.example.com e ns2.example.com são servidores não assinados e não-dnssec.
Gostaríamos de usar ns1.example.com como um mestre oculto e implementar assinatura in-line no bind de acordo com: Exemplo # 2 . Nossos novos servidores habilitados para DNSSEC para example.com serão dns1.example.com e dns2.example.com .
Gostaríamos de publicar os registros DS no .com registrador, para que possamos testar internamente os novos servidores DNSSEC. O SOA permaneceria ns1.example.com (e os registros NS não incluiriam os servidores DNSSEC por enquanto).
A minha pergunta é:
Se publicar DS registros em .com para nossos servidores DNSSEC, os servidores DNS validadores de dnssec serão interrompidos quando perceberem que não há funcionalidade DNSSEC em ns1.example.com ou ns2.example.com ?
AND
Existem outros efeitos colaterais que devemos estar atentos a essa configuração híbrida?