Domain-Name-System

DNSSEC 驗證應該在遞歸 DNS 伺服器中還是在客戶端軟體中完成?

  • December 17, 2012

正如標題所說。

DNSSEC 的設計及其在 Bind(以及諸如 Unbound 之類的東西)中的實現非常清楚地允許使用任何一種。他們可以選擇進行 DNSSEC 驗證,如果驗證失敗則返回 SERVFAIL。或者,它們可以設置為“支持”DNSSEC,但不進行實際驗證,允許客戶端軟體使用“DO”位(使用 EDNS)來請求 DNSSEC 記錄並自行進行驗證。

值得注意的是,Google自己的公共 DNS 伺服器似乎遵循後者,允許 DNSSEC 請求通過它們,但不自己進行 DNSSEC 驗證。

DNSSEC 設想執行這兩種方式中的哪一種?如果您需要上下文,假設您有一些小型 Web 應用程序伺服器和一個記憶體遞歸 DNS 伺服器,它們可以通過它們執行 DNS 請求。

我不知道“設想”;可能時間會告訴我們什麼是最好的。

但是如果你已經有一個記憶體伺服器,我會讓它來做驗證。主要原因:然後,您可以在一個地方記錄驗證失敗(如果有必要,還可以配置例外情況——當您必須訪問的站點破壞了 DNSSEC 記錄時)。

在眾多客戶上這樣做不會擴展。

引用自:https://serverfault.com/questions/458659