RRSIG это подпись, связанная с DNSSEC. Это не "скрытая" запись, но ее нельзя редактировать, как любую другую запись.
В вашей зоне включен DNSSEC, так как ДС запись можно сказать, и полную диагностику DNSViz. Это делается вашим провайдером DNS, поэтому по любому вопросу о содержимом вашей зоны, и если вы не знаете о DNSSEC, ваш провайдер DNS должен быть вашим первым контактным лицом.
Но затем вы делегируете часть своей зоны другому набору серверов имен. В этом случае у вас должен быть один или несколько ДС записи в вашей зоне и соответствующие DNSKEY записи на дочерних серверах имен. Что, очевидно, не так, как сообщает вам DNSViz, потому что он не может получить соответствующий ДС запись, следовательно, нарушает полную проверку DNSSEC, по крайней мере, для части вашей зоны, ситуация, в которой вы не хотите быть, потому что это означает, что для некоторых пользователей (и, вероятно, для большинства, поскольку крупнейшие общедоступные преобразователи DNS полностью проверяют DNSSEC) они не будут увидят эту часть зоны вообще, они получат ошибку DNS, как будто имя не существует.
«Простым» (или, по крайней мере, быстрым) решением было бы попросить вашего текущего провайдера DNS отключить DNSSEC в вашей полной зоне (что приведет к удалению этих «скрытых» RRSIG записи). Но вы также немного теряете, так как DNSSEC предоставляет некоторые гарантии целостности ответов, полученных клиентами при доступе к вашим ресурсам.
Настоящим решением было бы вместо этого пойти в Salesforce и попросить их предоставить другой способ (без делегирования и NS записи) для выполнения любых услуг, которые вам нужны для них. Таким образом, вы можете поддерживать DNSSEC в своей зоне. Однако существует большой риск того, что этот запрос останется без внимания, так как сначала вам нужно будет пройти через достаточное количество уровней поддержки клиентов, прежде чем вы доберетесь до кого-то, кто разбирается в DNSSEC.
Что касается:
просто индикатор того, что мы делегировали управление DNS для субдомена в отдел продаж.
Само присутствие NS записи на авторитетных серверах имен для вашей зоны являются доказательством контроля. Если это делается только для утверждения доказательства, этого достаточно, и их можно удалить. Если они являются частью предоставляемой услуги, как объяснялось выше, вы не можете иметь их и зону с поддержкой DNSSEC одновременно, поэтому будет либо одно, либо другое, а не то и другое.
