Názor k článku Doména .CZ spouští jako první automatickou správu DNSSEC klíčů od Filip Jirsák - pokud je doména podepsaná Pokud v rámci testu vloží...

pokud je doména podepsaná

Pokud v rámci testu vloží CDNSKEY záznamy
Podepsaná doména je něco jiného, než doména s CDSKEY záznamy. Opravdu je potřeba tohle vysvětlovat?

Nepovažuju za pravděpodobné, že by většina těch podepsaných zón, které nemají klíč v nadřazené doméně, v dohledné době použila CDNSKEY záznam. Nemyslím si, že by to byly zóny, kde někdo chce zprovoznit DNSSEC, a čeká jenom na to, až mu to registrátor umožní. Pokud by opravdu chtěl DNSSEC zavést, může přejít k jinému registrátorovi. A pokud na to naopak nespěchá a přecházet nechce, nebude preventivně podpisovat zóny několik let předem. Myslím si, že ty podepsané zóny bez publikovaného klíče jsou dvojího typu – buď jsou podepsané „omylem“, protože to někdo někde zapnul, ale provozovatel o DNSSEC neví nebo to nechce řešit, takže klíč do nadřazené domény nedal – a nevystaví ani CDSKEY záznam. Další skupina budou ty zóny, kde se DNSSEC testuje, a kde by si zařazení klíče do nadřízené zóny po dokončení testování zařídili stejně, i kdyby museli někde kliknout na nějaké tlačítko. Pak už zbývají zóny jako Cloudflare, kde opravdu půjde zavést DNSSEC i tehdy, když to majitel domény nijak neřeší. Jenže v tomhle případě se dal bootstrap udělat bezpečně přes DNSSEC zabezpečenou doménu poskytovatele DNS služeb – jmenné servery té domény, která má být zabezpečena, jsou *.ns.cloudfla­re.com, takže by bylo možné CDNSKEY záznam ověřovat i na nich.