如果ccTLD没有其名称服务器的IPv6地址，则仅IPv6用户可能无法parsing该TLD下的任何名称，即使这些名称位于IPv6主pipe区域中。 解决从根到下一个链，如果一个链接不起作用，整个事情就会失败。

DNSSEC提供DNS数据的encryptionauthentication。 像DNS中的所有内容一样，它遵循从根区开始的普通树。 而且，如果一个环节不起作用，整个环节就会失败。 因此，ccTLD下的任何不执行DNSSEC的名称都容易受到欺骗（注意：在这种情况下，存在一种侧向链接技术，称为DLV。但是，它已被弃用，ICANN对其的支持将会结束在2017年）。

我会考虑使用更好的顶级域名:-)

AAAAlogging可以由IPv4和IPv6parsing器交付。 您可以将IPv6地址添加到您的域，并将交付。 只有IPv6parsing器的人（我认为这种parsing器相对较less）在任何情况下都无法parsing您的域名。

DNSSEC的标准解决方法是使用DLV（DNSSEC旁视validation）。 这已经使用了很长时间，并且一直是validation许多顶级域名（TLD）的唯一方法。 随着顶级域名（TLD）提供商添加DNSSEC支持，DLV对这些顶级域名（TLD）的要求消失。

IPv6和DNSSEC的总体接受速度非常缓慢。 我在哪里，我仍然需要一个IPv4隧道来获得IPv6连接。

如果TLD不支持名称服务器地址的AAAAlogging，这并不意味着您不能为您的底层服务拥有AAAAlogging，这意味着人们将无法使用IPv6 来进行DNS协议本身的查找你的服务地址。

这是一个非常正常的configuration（参见BCP 91 aka RFC 3901 ），只有IPv4域名服务器与域registry一起列出，这些域名服务器发布AAAAlogging以查找域内的条目。 在这一点上，不会破坏任何东西 – 只有IPv6的连接（没有NAT64）几乎是不可用的。

对于DNSSEC，大多数ccTLD已经提供支持，而那些没有计划或已经在执行中的ccTLD，尽pipe非洲是主要的关注领域。 几天前最新的ISOC地图显示：

适度的务实（但承认不太精确或永久）指南：

如果您发现自己处于上述腌制状态，无论出于何种原因都必须继续使用相关的TLD。

（A）对TLD没有IPv6支持

从这篇文章（2016年1月）来看，IPv4远没有被弃用，所以对一般可发现性的任何实际影响应该是最小的。 但是由于这个假设的不精确性，而且无论是品牌推广还是大宗TLD采购/转让的原因，使用特定顶级域名（TLD）都是不可避免的。

1. 请访问http://www.iana.org/domains/root/db上的IANA（ICANN部门）根区数据库，查找TLD相应赞助组织的官方技术和pipe理联系人详细信息，并联系他们以查找是否/何时使用IPv6将得到支持。

（B）对TLD没有DNSSEC支持

由于支持DNSSEC的parsing程序可以在请求可以用于防止MITM攻击的附加努力（与SSL不同）之前检查数字签名，因此忽视它并不明智。 如果您的顶级域名目前不支持它…

1. 临时解决方法是DNSSEC旁视validation（DLV）实施，在这种情况下必须驻留在parsing器或caching服务器上，而不是权威名称服务器。 但是，如果你只是托pipe一个网站或一个应用程序，你可能不会是解决名称服务器上的问题开始，如@ Calle-Dybedahl所说，这个选项即将结束2017年〜。 （请参阅官方日落计划： https ：//singapore52.icann.org/en/schedule/mon-tech/presentation-dlv-decommissioning-09feb15-en.pdf）

所以，类似于上面的（A）…

2. 访问http://www.iana.org/domains/root/db的IANA（ICANN部门）根区数据库，并查找TLD相应赞助组织的官方技术和pipe理联系详情，并联系他们以查找DNSSEC将得到支持。

我知道这意味着我将无法将AAAAlogging添加到域中，

这是错误的。 域registry的使用与您可以使用的loggingtypes无关（除非他们强迫您使用他们的服务器作为权威的域名服务器，在这种情况下，我会build议远程运行）。

但这对于其他支持IPv6的DNS服务器的可达性/兼容性/可见性意味着什么呢？

如果tld的区域不能通过ipv6访问，那么ipv6-onlyparsing器将无法parsing该域。

如果tld的区域通过ipv6可用，但是它们不会让您提供IPv6粘贴logging，那么情况会变得更复杂。 如果您的域名服务器位于有问题的域名下，则需要IPv6粘贴logging来支持IPv6parsing器。 如果您的域名服务器位于另一个域名下，那么您的域名不需要粘贴logging（尽pipe显然它们是某个域名所必需的）。

双栈parsing器应该罚款。 大多数DNSparsing器都有可能支持IPv4（双栈或者仅v4）。

据我所知，DNSSEC在validationDNSparsing方面是非常重要的，但在安全性方面，不知道它的实现（或缺乏）是否会影响我作为应用程序开发人员。

Dnssec应该提供一个机制来validation你收到的logging是否真实。 然而

1. 绝大多数系统在这个时候不执行它。
2. validationlogging是否合法对于A和AAAAlogging并不是很有帮助。 一个能够混淆DNS的攻击者也很可能会混淆IP路由。

DNSSEC与DANE是未来对当前CA系统的替代或补充。 目前的CA系统从安全的angular度来看是非常有缺陷的，因为它实际上只让你和最差的CA一样安全。

你不说你正在开发什么样的应用程序。 如果客户端应用程序与您拥有的服务器通话，那么您应该使用tls与私有CA来保护您的连接。

对于web应用程序来说，公共的CA系统（糟透了）实际上是唯一的select。 你可能要考虑香港邮政试图减less错误发放证书的风险。 工作DNSSEC / DANE将提供更好的安全性，但只有less数实际支持它的客户端。

如果你正在devise自己的协议，允许使用任意的服务器，你可能要考虑包括equivilent到HKP。