正如标题所说。
DNSSEC 的设计及其在 Bind(以及 Unbound 之类的东西)中的实现非常清楚地允许两种使用。他们可以选择进行 DNSSEC 验证,如果验证失败则返回 SERVFAIL。或者,它们可以设置为“支持”DNSSEC 但不进行实际验证,从而允许客户端软件使用“DO”位(与 EDNS)请求 DNSSEC 记录并自行进行验证。
值得注意的是,谷歌自己的公共 DNS 服务器似乎遵循后者,允许 DNSSEC 请求通过它们,但不自己进行 DNSSEC 验证。
DNSSEC 设想运行这两种方式中的哪一种?如果您需要上下文,请想象您有一些小型 Web 应用程序服务器和一个缓存递归 DNS 服务器,供它们执行 DNS 请求。
我不知道“设想”;可能时间会证明什么最有效。
但是如果你已经有一个缓存服务器,我就让它来做验证。主要原因是:这样您就有了一个地方可以记录验证失败(如果有必要,可能还可以配置例外——当您必须访问的站点已损坏 DNSSEC 记录时)。
在大量客户端上执行此操作无法扩展。