Является ли наличие RRSIG крайне редким? Я пытался получить записи RRSIG для многих популярных доменов, включая попытки использования разных резолверов. Я не получил никаких записей RRSIG в разделе ответов.
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
Раздел ответа в результате никогда не содержит запись RRSIG. Я что-то делаю не так? Или RRSIG — это то, что нечасто используется для безопасности при извлечении записей DNS?
решение1
Ваши команды выглядят нормально, но есть много зон (включая многие высокоуровневые), которые просто не подписаны.
Обычно проверка работает следующим образом: «правильная подпись» и «часть неподписанной зоны» (указанная в делегировании) рассматриваются как ОК, тогда как «неправильная/отсутствующая подпись» будет рассматриваться как ошибка проверки.