Ist das Vorhandensein von RRSIG höchst ungewöhnlich? Ich habe versucht, RRSIG-Einträge für viele beliebte Domänen abzurufen und dabei auch verschiedene Resolver auszuprobieren. Im Antwortabschnitt habe ich keine RRSIG-Einträge erhalten.
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
Der Antwortabschnitt im Ergebnis enthält nie einen RRSIG-Eintrag. Mache ich etwas falsch? Oder ist RRSIG etwas, das aus Sicherheitsgründen beim Abrufen von DNS-Einträgen nicht oft verwendet wird?
Antwort1
Ihre Befehle sehen gut aus, aber es gibt viele Zonen (darunter viele hochkarätige), die einfach nicht signiert sind.
Die Validierung funktioniert normalerweise so, dass sowohl „korrekte Signatur“ als auch „Teil einer nicht signierten Zone“ (wie in der Delegation angegeben) als OK behandelt werden, während „falsche/fehlende Signatur“ als Validierungsfehler behandelt wird.