usando DNSSEC lookaside porque o registrador não pode injetar registros DS

Partes da pergunta são claramente baseadas em opiniões, mas tentarei abordar as especificidades de confiar no DNSSEC lookaside ( DLV) neste momento.

Em primeiro lugar, o suporte lookaside é implementado em várias das principais implementações de software de resolução de validação, mas não em todas. Mesmo quando o software implementa o suporte lookaside, geralmente não é ativado por padrão (provavelmente porque seu uso não é totalmente sem controvérsia - não é um "padrão real", repositório central de chaves confiáveis, etc.).

Hoje em dia, com a raiz, bem como a maioria dos TLDs assinados (e, com sorte, permitindo a criação de delegações assinadas), não acho exagero supor que a adoção de lookaside em novas implantações provavelmente cairá muito, exceto nos casos em que o Os próprios proprietários do sistema estão contando com o Lookaside para suas próprias necessidades.

Como alguns exemplos de alguns servidores resolvedores de validação populares, os resolvedores públicos do Google não usam lookaside, nem o .

No geral, parece que o lookaside ainda é melhor do que nada, pois ainda é potencialmente útil, embora pareça que sua utilidade está diminuindo.

Se possível (ou seja, se você tem alguma ideia de quais servidores resolvedores a maioria de seus clientes usará), você pode querer fazer alguns testes para descobrir como é útil confiar no DNSSEC lookaside especificamente para você. Consultar servidores resolvedores de validação, por exemplo nsec3.dlvtest.dns-oarc.net(e observar o ADsinalizador na resposta), seria um bom começo.

Algumas leituras potencialmente úteis (embora já tenham alguns anos):

• http://lists.dnssec-deployment.org/pipermail/dnssec-deployment/2013-November/thread.html#6940
• http://blog.huque.com/2013/09/isc-dlv-registry-usage.html