¿Es muy poco común la presencia de RRSIG? Intenté recuperar registros RRSIG para muchos dominios populares, incluso probando diferentes solucionadores. No obtuve ningún registro RRSIG en la sección de respuestas.
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
La sección de respuesta del resultado nunca contiene un registro RRSIG. ¿Estoy haciendo algo mal? ¿O RRSIG es algo que no se usa mucho por seguridad al recuperar registros DNS?
Respuesta1
Sus comandos se ven bien, pero hay muchas zonas (incluidas muchas de alto perfil) que simplemente no están firmadas.
La forma en que normalmente funciona la validación es que tanto la "firma correcta" como la "parte de la zona sin firmar" (como se indica en la delegación) se tratan como OK, mientras que la "firma incorrecta/faltante" se tratará como un error de validación.