回答:
いいえ、権限のあるネームサーバーでローカルに構成を削除するだけでは不十分です。
DNSSECは階層的システムであり、信頼の連鎖はDNS キャッシュポイズニングに対抗します。
DNSSECは、DNSキャッシュポイズニングなどの特定の攻撃からインターネットを保護するために設計されました。これは、DNSの拡張セットであり、a)DNSデータのオリジン認証、b)データの整合性、c)認証された存在の拒否を提供します。
信頼の連鎖の例:
ns1.example.com.
持っている秘密鍵署名のためexample.com. A
にをexample.com. RRSIG A
。example.com.
の機関に送信され、確認されましたcom.
。その後、の機関に秘密鍵で署名されexample.com. DS hash
、対応example.com. RRSID DS
しています。.com.
公開鍵のcom.
に送られて確認されているroot権限、その後にそれを持っている、com. DS hash
そして対応com. RRSID DS
で署名、プライベートルートキー用つまりキー.
別名、ルートゾーントラストアンカー:
ルートキー署名キーは、ドメインネームシステムのDNSSECのトラストアンカーとして機能します。このトラストアンカーは、DNSデータの検証を容易にするためにDNSSEC対応のリゾルバーで構成されます。
DNSVizを使用すると、任意のドメインを適切に視覚化できます。また、構成エラーも検出します。
したがって、TLDの責任を負う機関に、おそらくレジストラを通じて連絡し、ドメインに対してDNSSECを無効にする必要があることを通知する必要があります。DS
ネームサーバーから連鎖レコードを削除することにより、DNSSECを無効にします。それ以外の場合、DNSSECは引き続き有効になり、権限のあるネームサーバーが不正なネームサーバーと見なされます。