DNSSEC 驗證應該在遞歸 DNS 伺服器中還是在客戶端軟體中完成？

正如標題所說。

DNSSEC 的設計及其在 Bind（以及諸如 Unbound 之類的東西）中的實現非常清楚地允許使用任何一種。他們可以選擇進行 DNSSEC 驗證，如果驗證失敗則返回 SERVFAIL。或者，它們可以設置為“支持”DNSSEC，但不進行實際驗證，允許客戶端軟體使用“DO”位（使用 EDNS）來請求 DNSSEC 記錄並自行進行驗證。

值得注意的是，Google自己的公共 DNS 伺服器似乎遵循後者，允許 DNSSEC 請求通過它們，但不自己進行 DNSSEC 驗證。

DNSSEC 設想執行這兩種方式中的哪一種？如果您需要上下文，假設您有一些小型 Web 應用程序伺服器和一個記憶體遞歸 DNS 伺服器，它們可以通過它們執行 DNS 請求。

我不知道“設想”；可能時間會告訴我們什麼是最好的。

但是如果你已經有一個記憶體伺服器，我會讓它來做驗證。主要原因：然後，您可以在一個地方記錄驗證失敗（如果有必要，還可以配置例外情況——當您必須訪問的站點破壞了 DNSSEC 記錄時）。

在眾多客戶上這樣做不會擴展。

引用自：https://serverfault.com/questions/458659