RRSIG의 존재는 매우 드문가요? 다른 확인자를 시도하는 것을 포함하여 많은 인기 도메인에 대한 RRSIG 레코드를 가져오려고 했습니다. 답변 섹션에 RRSIG 기록이 없습니다.
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
결과의 답변 섹션에는 RRSIG 레코드가 포함되지 않습니다. 내가 뭔가 잘못하고 있는 걸까요? 아니면 RRSIG는 DNS 레코드를 가져오는 동안 보안을 위해 많이 사용되지 않는 것입니까?
답변1
귀하의 명령은 괜찮아 보이지만 서명되지 않은 영역(많은 주요 영역 포함)이 많이 있습니다.
유효성 검사가 일반적으로 작동하는 방식은 "올바른 서명"과 "서명되지 않은 영역의 일부"(위임에 표시된 대로)는 모두 OK로 처리되는 반면, "잘못된/누락된 서명"은 유효성 검사 오류로 처리됩니다.