我们正在建立一个运行着 BIND9 服务器(以及许多其他服务)的网络。我正在学习并尝试重新组织旧的配置文件以符合当今的要求(许多死机、未使用的名称、反向映射等)。
与此同时,我很乐意遵循最佳实践并使用 DNSSEC 保护 DNS。在检查配置时,我偶然发现我们使用的 TLD 并未受到 DNSSEC 的保护。
我的问题:如果楼上(在超级域)没有人这样做,那么使用 DNSSEC 保护我们的 DNS 是否有任何意义(我敢打赌)?
我们的区域/域名空间位于我们的大学域名下,直接位于ve.空间(委内瑞拉 TLD)之下。也就是说,像example.university.ve.“两者”ve或我们大学的 DNS 之类的东西都是安全的。
如果我们无论如何都要保护我们的子域,我仍然想知道如果有攻击者出现,不安全的 TLD 会导致什么问题。
PS:我使用http://dnsviz.net/和https://dnssec-debugger.verisignlabs.com/等工具来检查 DNSSEC 配置。