RRSIG の存在は非常に珍しいのでしょうか? さまざまなリゾルバを試すなど、多くの一般的なドメインの RRSIG レコードを取得しようとしました。回答セクションに RRSIG レコードは表示されませんでした。
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
結果の回答セクションに RRSIG レコードが含まれません。何か間違っているのでしょうか? それとも、RRSIG は DNS レコードを取得する際のセキュリティのためにあまり使用されないものでしょうか?
答え1
コマンドは問題ないように見えますが、署名されていないゾーンが多数あります (多くのハイプロファイルのゾーンを含む)。
検証が通常機能する方法は、「正しい署名」と「署名されていないゾーンの一部」(委任に示されているとおり)の両方が OK として扱われ、「正しくない/署名がない」は検証エラーとして扱われるというものです。