Toate.
Pentru că părintele are o DS record care este, în rezumat, un hash al KSK. Prin urmare, atunci când urmează lanțul de încredere, rezoluția recursivă va aduce asta DS înregistrarea de la părinte și va prelua DNSKEY înregistrarea de la copil și va verifica dacă există cel puțin o cheie în DNSKEY record care se potrivește cu DS înregistrați și apoi continuați validarea (sau eșuați imediat acolo).
Conform §2.1.1. din RFC4034, fiecare DNSKEY înregistrarea are un atribut flags care va permite unui rezolutor să știe dacă acest material criptografic dat este pentru o cheie de zonă sau o cheie de semnare a cheii.
Rețineți că împărțirea KSK/ZSK este comună, dar nu este singurul caz. Aveți, de asemenea, o situație CSK cu C=Common în care aveți o singură cheie, care ambele semnează direct toate celelalte înregistrări și, de asemenea, are o potrivire DS înregistrarea la părinte.
Ambele sunt configurații valide, cu avantaje și dezavantaje diferite.
De asemenea, rețineți că DNSKEY setul de înregistrări poate conține chiar chei neutilizate încă pentru semnare și nici pentru a fi la părinte într-un DS înregistrare, care se întâmplă, de exemplu, în timpul rotației (mai întâi trebuie să introduceți cheia în zonă și să lăsați rezolutorii să o păstreze în cache, apoi după ceva timp puteți începe să semnați cu ea și apoi din nou după un timp puteți activa DS înregistrați dacă este necesar).
