我的任务是将我们的域配置为使用 DNSSEC。我们目前使用 AWS Route 53 作为我们的注册商和 DNS 托管提供商。根据 AWS 文档,Route 53 在这两种服务上都支持 DNSSEC。据我所知,验证 DNS 查询的整个过程都属于服务器,从递归解析器到 TLD 域服务器。我当前的项目涉及使用不同 ISP 连接的 IoT 设备,这些设备在使用递归解析器服务器方面没有任何约定(但这可能会改变)。假设这种情况:
使用的递归解析器服务器是否应根据其验证 DNSSEC 的能力进行选择?我的理解是答案是肯定的,否则 DNSSEC 就毫无意义了。
在客户端级别验证递归解析器的响应是否有意义?在该级别是否存在 MITM 攻击的风险?安装在 IoT 设备中的代理是用 Java 编码的,但我还没有发现任何能够验证 DNSSEC 的知名客户端。