Die Stuktur besteht aus einer Zertifikatskette / chain of trust
Aus der Sicht des Domänenkunden ist die "Parent Zone" die TLD zb. bei einer .at Domäne die nic.at.
Aus der Sicht von nic.at ist die "Parent Zone" der root Server Verisign
https://de.wikipedia.org/wiki/Root-Nameserver#Aufsicht
Hier wird am Beispiel der nic.at Domäne
eine geschlossene "DNSSEC Authentication Chain" gezeigt
https://dnsviz.net/d/nic.at/dnssec/
Testen sie Ihre Bank!
In der Obersten Box sind die root server
in der Zweiten die TLD .at der nic.at Verwaltung
in der Dritten die Domäne example.com
Um eine DNSSec Zertifikatskette für die TLD .at aufzubauen
muss mit dem TLD Betreiber / nic.at Kontakt aufgenommen werden
Wie wird der DS-Record des Key-Signing-Keys übermittelt?
Der DS-Record des Key-Signing-Keys wird als Registrar über das Reg-Web oder EPP übermittelt.
Der Workflow besteht darin den DS-Record Ihres Key-Signing-Keys an den Betreiber der TLD zb.: .at .de zu übermitteln.
Key Management & die Signierung der Zonen auf eigenen DNS Servern
Zuerst müssen die entsprechenden Keys erstellt werden um dann die Zonen mit diesen zu signieren.
Die meisten Provider bieten die Übertragung der DS-Records an den Parent entweder über ein Feld im Kunden-Interface an,
oder kapseln den gesamten Ablauf komplett (in dem Fall erzeugt der Betreiber den Key, signiert, und übermittelt automatisch).
Die Informationen im partnerfinder auf der nic.at website werden von den Registraren selbst gepflegt.
Für Österreich ergibt die Suche kein brauchbares Ergebnis
https://www.nic.at/de/meine-at-domain/at-partnerfinder
Auch grosse Serverhoster bieten kein Service
https://wiki.hetzner.de/index.php/DNSSEC#Einrichtung_bei_Hetzner
Firefox Addon
https://addons.mozilla.org/en-GB/firefox/addon/dnssec/
Online Analyse von Domänen
https://dnssec-analyzer.verisignlabs.com/
Wikipedia
https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions