V registru je uvedeno, že někde.cz
má jmenné servery fiona.ns.cloudflare.com
a rudy.ns.cloudflare.com
. První dotaz by byl na CDNSKEY
záznam v doméně někde.cz
. Pokud by byl podepsaný DNSSEC a validní, není potřeba nic dál řešit. Pokud by podepsaný nebyl, pokračovalo by se dotazem třeba na TXT
záznamy někde.cz._cdnskey.fiona.ns.cloudflare.com
a někde.cz._cdnskey.rudy.ns.cloudflare.com
, ve kterých by musel být ten samý otisk, jako v původním CDNSKEY
záznamu pro někde.cz
. Bylo by to řešení přesně pro tyhle případy, kdy je doména hostovaná u nějakého poskytovatele DNS služeb, který DNS záznamy spravuje hromadně.
Když se používají keysety a dá se předpokládat, že bude poskytovatel DNS služeb používat jeden nebo několik málo keysetů, dalo by se to i zjednodušit tak, že by třeba pod TXT
záznamy _cdnskey.fiona.ns.cloudflare.com
_cdnskey.rudy.ns.cloudflare.com
byl seznam otisků všech validních keysetů, které používají zóny vedené na těch serverech (tj. pokud by se keyset našel na tomhle seznamu, byl by považován za ověřený. Pokud by se tam keyset nenašel, protože vlastník domény např. používá svůj keyset, musel by ho ověřit jiným způsobem.)