Route53 DS记录的key tag错误。

【以下的问题经过翻译处理】 我在AWS上注册了example.com，并且为这个顶级域名添加了一个KSK密钥并激活DNSSEC以使用该密钥。然后我到Route 53控制台选择example.com，“管理密钥”并添加了来自上一步骤（“建立信任链”->“Route 53 registar”）的“公钥”内容。

dig example.com @8.8.8.8 DS
;; ANSWER SECTION:
example.com.		21600	IN	DS	**2___7** 13 2 E4B...44 42...48
example.com.		21600	IN	DS	**1___7** 13 2 18A...C8 BB...86

=> Dig返回了正确的记录，但是Key Tag比Route 53 Key详情页中的值少1。

我又重复了一次上述步骤，结果得到完全相同的结果。对于Child Zones/Subdomains，我自己添加了DS记录，它可以正常工作。我使用Verisignlabs测试我的顶级域名：https://dnssec-analyzer.verisignlabs.com/example.com，发现下面2个错误，其他功能正常：

• 3个DNSKEY记录都无法被DS记录验证（在此需要提到，我现在确实有3个密钥 -> 其中一个是我错误添加的并将其删除，但尚未传播）
• DNSKEY RRset没有被任何可信的密钥签名

我不知道DNSSEC内部的细节，但在DS记录中具有不同的Key Tag值可能会导致问题，因为它将生成不同的SHA。由于顶级的DS记录并不是手动添加的，而是通过添加公钥并从那里派生的，所以这个错误的Key Tag是不是Route53造成的？

delv @8.8.8.8 example.com  
;; broken trust chain resolving 'example.com/A/IN': 8.8.8.8#53
;; resolution failed: broken trust chain

dig example.com @8.8.8.8 DNSKEY
...
;; ANSWER SECTION:
example.com.		3600	IN	DNSKEY	256 3 13 wyTR...Fxu+ /+R+Zr...Q== **-> wrong deleted key**
example.com.		3600	IN	DNSKEY	257 3 13 3wV0...OxK qKFjjm...A== **-> first key**
example.com.		3600	IN	DNSKEY	257 3 13 6NVX...Io0 J11HP...Q== -> **second key**

在上面的Dig输出中，Key都被分割成了介于33～55个字符的长度。但如果将2个部分组合起来，它的值是正确的。我不确定这是Dig特定的输出格式所导致的，或者是因为它包含了SHA/Salt，或者原本就是这样。