我想知道验证解析器如何处理多个 DS 记录。假设我们有一个包含一个 KSK 和一个 ZSK 的区域,但是在一些关键的轮转恶作剧之后,父区域中有两个 DS 记录,一个指向当前的 KSK,一个指向旧的、不再发布的 KSK。
只要 DNSKEY RRset 由父项中至少一个 DS 记录指向的密钥签名,解析器是否会忽略旧的 DS 记录并验证区域?
domain-name-system dnssec
dnssec ×1
domain-name-system ×1