RRSIG 的存在是否非常罕见?我尝试获取许多流行域名的 RRSIG 记录,包括尝试不同的解析器。我在答案部分没有得到任何 RRSIG 记录。
dig @1.1.1.1 aws.com A +dnssec
dig @8.8.8.8 google.com A +dnssec
dig @8.8.8.8 aws.com A +dnssec
dig @8.8.8.8 icloud.com A +dnssec
dig @8.8.8.8 zoom.us A +dnssec
结果中的答案部分从不包含 RRSIG 记录。我做错了什么吗?或者 RRSIG 在获取 DNS 记录时很少用于安全性?
答案1
您的命令看起来不错,但是有很多区域(包括许多高调的区域)尚未签名。
验证通常的工作方式是“正确签名”和“未签名区域的一部分”(如委托中所示)都被视为正常,而“不正确/缺失的签名”将被视为验证错误。