如何使用 Amazon Route 53 從我的父區域中刪除 DS 記錄？

當我使用不支持 DNSSEC 的名稱伺服器時，由於父區域中存在 DS 記錄，我的網站目前無法訪問。有關更多上下文，請參閱此問題。

我使用 Amazon Route 53 作為我的註冊商，但我看不到使用該界面刪除 DS 記錄的方法。我嘗試了以下步驟，但沒有奏效。

1. 最初我使用不支持 DNSSEC 的 Amazon Route 53 名稱伺服器。因此，在“DNSSEC 狀態”部分它說“如果您使用 Route 53 以外的 DNS 服務提供商，並且如果 TLD 註冊機構支持 DNSSEC，您可以從域的 TLD 註冊機構添加和刪除公鑰。”
2. 我將 namservers 更改為 Cloudflare 的。
3. 我添加了一個公鑰
4. 我刪除了公鑰。
5. 我將名稱伺服器改回亞馬遜的

然而這並沒有奏效。“dig ds markfisher.photo”仍然顯示 DS 記錄，我的網站仍然無法訪問。

如何刪除 DS 記錄？我無法轉移到另一個註冊商，因為我在過去 60 天內將域轉移到了亞馬遜（實際上是最近）。此外，我沒有 AWS 的支持包，所以我無法獲得人工幫助 :(

也許我需要在執行上述步驟之間等待更長的時間嗎？

上部區域中的 DS（和 NS）記錄是註冊商側設置的結果，而不是直接與其相關的 DNS 區域部分。特別是對於 DS 記錄，“魔法”是禁用 DNSSEC 的關鍵字 - 一旦您為區域啟用 DNSSEC，其中一個步驟就是配置 DS 記錄。

DNSSEC 設置的 AWS 文件（2020 年 1 月 8 日）：

刪除域的公鑰

當您輪換密鑰或為域禁用 DNSSEC 時，請使用以下過程刪除公共密鑰，然後再通過 DNS 服務提供商禁用 DNSSEC。我們建議您在輪換密鑰或向 DNS 服務提供商禁用 DNSSEC 後最多等待三天以刪除公鑰。請注意以下事項：

• 如果您正在輪換公鑰，我們建議您在添加新公鑰後最多等待三天以刪除舊公鑰。
• 如果您要禁用 DNSSEC，請先刪除域的公鑰。我們建議您最多等待三天，然後再通過域的 DNS 服務禁用 DNSSEC。

重要的

• 如果為域啟用了 DNSSEC 並且您使用 DNS 服務禁用了 DNSSEC，則支持 DNSSEC 的 DNS 解析器將向客戶端返回 SERVFAIL 錯誤，並且客戶端將無法訪問與域關聯的端點。

刪除域的公鑰

1. 登錄 AWS 管理控制台並在https://console.aws.amazon.com/route53/打開 Route 53 控制台。
2. 在導航窗格中，選擇註冊域。
3. 選擇要從中刪除密鑰的域的名稱。
4. 在 DNSSEC 狀態欄位中，選擇管理密鑰。
5. 找到要刪除的密鑰，然後選擇 Delete。

• 注意：您一次只能刪除一個公鑰。如果您需要刪除更多密鑰，請等到您收到來自 Amazon Route 53 的確認電子郵件。

6. 當 Route 53 收到來自系統資料庫的響應時，我們會向域的註冊聯繫人發送一封電子郵件。該電子郵件要麼確認公鑰已從系統資料庫中的域中刪除，要麼解釋為什麼無法刪除該密鑰。

引用自：https://serverfault.com/questions/998095