Ik draai zelf mijn authorative nameservers met BIND9 en heb mijn zone files allemaal netjes ondertekend. Toch hou ik gezeur met de NL zone. SIDN geeft aan dat normaalgesproken DS records moeten worden geupload naar de registrar maar dat SIDN alleen DNSKEY records wil hebben en daaruit zelf de DS records genereert en opneemt in de NL zone, dat staat hier: https://www.sidn.nl/en/dnssec/dnssec...-in-bind-named (onder 7 Uploading Key Material).
Ik heb netjes mijn DNSKEY records doorgegeven aan mijn registrar maar de DNSSEC test van verisign geeft aan dat er geen DS records in de NL zone bestaan voor mijn domeinen. De registrar zegt alleen DNSKEY records te kunnen opnemen en dat hebben ze ook gedaan. Desondanks houd ik problemen, zoals je kunt zien in de test van verisign, bijvoorbeeld voor mijn domein beyondsec.nl: https://dnssec-analyzer.verisignlabs.com/beyondsec.nl
Daarbij/daardoor houd ik problemen met resolvers, die hier en daar SERVFAIL aangeven. Dnsmaq geeft BOGUS records terug, vermoedelijk omdat de chain niet compleet is. Ik zit een beetje tussen wal en schip want ik kan niet echt ergens meer terecht met dit probleem.
Heeft iemand hier ervaring mee? Misschien heb ik wel iets heel simpels gemist.
Alle suggesties zijn welkom!