A presença de RRSIG é altamente incomum? Tentei buscar registros RRSIG para muitos domínios populares, incluindo experimentar diferentes resolvedores. Não recebi nenhum registro RRSIG na seção de respostas.
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
A seção de resposta no resultado nunca contém um registro RRSIG. Estou fazendo algo errado? Ou o RRSIG é algo que não é muito usado para segurança durante a busca de registros DNS?
Responder1
Seus comandos parecem bons, mas há muitas zonas (incluindo muitas zonas de alto perfil) que simplesmente não estão assinadas.
A forma como a validação normalmente funciona é que tanto a "assinatura correta" quanto a "parte da zona não assinada" (conforme indicado na delegação) são tratadas como OK, enquanto a "assinatura incorreta/ausente" será tratada como um erro de validação.