Un registro DS (Delegation Signer) es una huella digital criptográfica que vincula las claves DNSSEC de una zona secundaria a su zona padre. Es cómo la raíz DNS valida la autenticidad de tu dominio sin almacenar tus claves de firma reales.
Aquí está por qué importa: los registros DS forman la cadena de confianza en DNSSEC. Tu registrador publica el registro DS a nivel del registro padre. Cuando un resolvedor valida tu dominio, verifica tu DNSKEY de zona contra el registro DS que el padre publicó. Rompe esa cadena, y la validación DNSSEC falla—tu dominio se ve sin firmar o falsificado.
Ejemplo: Ejecutas un dominio .com con DNSSEC habilitado. Generás un DNSKEY, lo has, y le das ese hash (el registro DS) a tu registrador. El registro lo planta en el archivo de zona .com. Ahora los clientes que validan tu dominio pueden confiar en tu DNSKEY porque la zona .com lo dice.
Por qué bunkerdomains se importa: DNSSEC endurece tu dominio contra secuestro DNS y envenenamiento de caché. Si estás alojando contenido sensible o ejecutando infraestructura que no puede permitirse suplantación de DNS, los registros DS son innegociables. También son evidencia de seriedad técnica—muestran que no solo estás alquilando un dominio, lo estás defendiendo.