我打算用 DNSSEC 签署我的 DNS 区域。我的区域、注册商和我的 DNS 服务器 (BIND9) 都支持 DNSSEC。唯一不支持 DNSSEC 的是我的二级域名服务器提供商(即buddyns.com)。
在他们的网站上,他们对 DNSSEC 进行了说明:
BuddyNS 不支持 DNSSEC,因为它暴露了一些不适合大容量 DNS 服务的漏洞。
好吧,我认为 DNSSEC 的使用目前在某种程度上是有问题的,因为大多数解析器不检查记录是否正确签名。我不知道的是 - 根据他们的声明 - 似乎提供它会暴露某种安全漏洞。
这些“漏洞”是什么?