https://datatracker.ietf.org/doc/html/rfc8901
Multi-Signer DNSSEC Models
1. Abstract
Many enterprises today employ the service of multiple DNS providers to distribute their authoritative DNS service. Deploying DNSSEC in such an environment may present some challenges, depending on the configuration and feature set in use. In particular, when each DNS provider independently signs zone data with their own keys, additional key-management mechanisms are necessary.
This document presents deployment models that accommodate this scenario and describes these key-management requirements. These models do not require any changes to the behavior of validating resolvers, nor do they impose the new key-management requirements on authoritative servers not involved in multi-signer configurations.
2. history
https://tex2e.github.io/rfc-translater/html/rfc8901.html
今日の多くの企業は、信頼できるDNSサービスを配布するために複数のDNSプロバイダのサービスを採用しています。 このような環境でDNSSECを展開すると、使用中の設定や機能に応じて、いくつかの課題が発生する可能性があります。 特に、各DNSプロバイダが独立してゾーンデータを独自のキーで署名すると、追加の鍵管理メカニズムが必要です。 この文書はこのシナリオに対応する展開モデルを提示し、これらの鍵管理要件を説明しています。 これらのモデルは、リゾルバを検証する動作に対する変更を必要としません。 また、マルチ署名者構成に関与していない権限のあるサーバーに新しい鍵管理要件を課します。(誤訳)