Voor goede DNSSEC
ondersteuning voor subdomeinen waarvan de nameservers elders draaien is het van belang dat er een DS
record voor het subdomein aangemaakt kan worden bij TransIP.
Wij maken bijvoorbeeld gebruik van een cloud infrastructuur op een subdomein, de DNS voor dit subdomein wordt in dezelfde cloud 'dynamisch' beheert en gebruiken dus ook andere nameserver voor dit subdomein middel NS
record.
Als er ook nog een DS
record aangemaakt kan worden dan zou de de DNSSEC validatie voor het subdomein werken. Nu gaat de validatie in dit scenario fout omdat de DS
record voor het subdomein ontbreekt waardoor de delegation niet valideert.
===========================
Update van TransIP:
De ondersteuning van DS records voor subdomeinen is in September 2021 toegevoegd. Je kunt dergelijke records nu voor je subdomein(en) aanmaken, mits je de TransIP nameservers gebruikt. Zie dit artikel voor meer informatie.
Jammer dat dit al zo lang openstaat. Ondersteuning voor een DS record is ook nodig om DNSSec op CloudFlare te kunnen activeren. Nu kan dat niet.
Als voorbeeld: https://support.dnsimple.com/articles/cloudflare-ds-record/