如何从域中删除DNSSEC支持？

一个组织对其域具有DNSSEC支持。它们具有运行的BIND9作为权威名称服务器，该服务器还管理密钥。但是，决定删除DNSSEC。卸下其中的关键资料/var/lib/bind/pri并重新启动服务器是否足够？是否应该执行一些步骤来将其卸下？

不，仅在权威名称服务器上本地删除配置是不够的。

DNSSEC是一个分层系统，信任链反覆了DNS 缓存中毒。

DNSSEC旨在保护Internet免受某些攻击，例如DNS缓存中毒。它是DNS的一组扩展，它们提供：a）DNS数据的原始身份验证，b）数据完整性，以及c）经身份验证的拒绝存在。

信任链示例：

1. 本身与签署的区私钥您的主要权威名称服务器，例如ns1.example.com.拥有私人密钥签署example.com. A与example.com. RRSIG A。
2. 该公钥的example.com.已发送并经权威机构已确认com.，然后有它example.com. DS hash和相应的example.com. RRSID DS，有符号的私钥对.com.

3. 该公钥的com.已发送到并确认的root权限，然后有它com. DS hash和相应的com. RRSID DS，有符号私人根密钥对，即关键.，又名根区域信任锚：

   根密钥签名密钥充当域名系统DNSSEC的信任锚。在支持DNSSEC的解析器中配置此信任锚，以促进DNS数据的验证。

您可以使用DNSViz很好地可视化任何域。它还会检测配置错误。

因此，可能必须通过注册商联系负责TLD的机构，并告知应该为该域禁用DNSSEC。他们将通过DS从其名称服务器中删除链接记录来禁用DNSSEC 。否则，仍将启用DNSSEC，从而使您的权威名称服务器被视为流氓名称服务器。