考虑这个区域:
example.org. SOA (...)
a.example.org. CNAME b
b.example.org. CNAME c
c.example.org. A 1.2.3.4
在启用 DNSSEC 和 CNAME 扁平化的情况下,对“a.example.org. A”的查询将返回以下结果:
;; ANSWER SECTION:
a.example.org. CNAME b.example.org.
a.example.org. RRSIG (...)
b.example.org. CNAME c.example.org.
b.example.org. RRSIG (...)
c.example.org. A 1.2.3.4
c.example.org. RRSIG (...)
;; AUTHORITY SECTION:
;; empty
每个 CNAME 是否应该有一个 NSEC 记录来证明没有 A 记录?
例如:
;; AUTHORITY SECTION:
a.example.org. NSEC b.example.org. CNAME RRSIG NSEC
a.example.org. RRSIG (...)
b.example.org. NSEC c.example.org. CNAME RRSIG NSEC
b.example.org. RRSIG (...)