RRSIG 的存在非常罕見嗎?我嘗試取得許多流行域的 RRSIG 記錄,包括嘗試不同的解析器。我在答案部分沒有收到任何 RRSIG 記錄。
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
結果中的答案部分從不包含 RRSIG 記錄。難道我做錯了什麼?還是 RRSIG 是不是在取得 DNS 記錄時出於安全考量而很少使用的東西?
答案1
您的命令看起來不錯,但有很多區域(包括許多高調的區域)沒有簽名。
驗證通常的工作方式是“正確簽名”和“未簽名區域的一部分”(如委託中所示)都被視為“正常”,而“不正確/丟失簽名”將被視為驗證錯誤。