正如标题所说。
DNSSEC的devise及其在Bind中的实现(以及诸如Unbound之类的事情)相当明显地允许使用。 他们可以select进行DNSSECvalidation,如果validation失败,则返回SERVFAIL。 或者,也可以将其设置为“支持”DNSSEC,但不进行实际validation,允许客户端软件使用“DO”位(使用EDNS)请求DNSSEClogging并自行进行validation。
值得注意的是,谷歌自己的公共DNS服务器似乎遵循后者,允许DNSSEC请求通过它们,但不是自己进行DNSSECvalidation。
DNSSEC设想运行这两种方式中的哪一种? 如果你想要的上下文,想象你有几个小的Web应用程序服务器和cachingrecursionDNS服务器,他们做DNS请求通过。
我不知道“预想”。 大概时间会告诉什么是最好的。
但是,如果你已经有一个caching服务器,我会让它进行validation。 主要的原因是:你有一个地方可以loggingvalidation失败(也许,如果有必要的话,configuration例外 – 当你必须到达的站点已经破坏了DNSSEClogging时)。
在多个客户端上执行此操作不会扩展。