Авторитарный сервер даст ответ с сигнатурой внутри, только тогда, когда в запросе на разрешение от кеш-сервера, стоит специальная метка - флаг DO. Тогда, на запрос о како-либо имени, кроме самого имени, в ответ помещается еще и DNSSEC записи.
Когда DO в запросе нет, то авторитарный DNS сервер не будет пихать в ответ лишние данные о которых его не спрашивали.
Проверяем на примере unbound.net. где уже внедрен DNSSEC:
Без просьбы предоставить нам дополнительные данные:
Код: Выделить всё
[terminus@hius 14:15:16 /usr/home/terminus]$ dig @open.nlnetlabs.nl. www.unbound.net. A
; <<>> DiG 9.4.-ESV <<>> @open.nlnetlabs.nl. www.unbound.net. A
; (3 servers found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20057
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;www.unbound.net. IN A
;; ANSWER SECTION:
www.unbound.net. 7200 IN A 213.248.210.39
www.unbound.net. 7200 IN A 213.154.224.1
;; AUTHORITY SECTION:
unbound.net. 7200 IN NS nom-ns1.nominet.org.uk.
unbound.net. 7200 IN NS ns.secret-wg.org.
unbound.net. 7200 IN NS open.nlnetlabs.nl.
;; ADDITIONAL SECTION:
ns.secret-wg.org. 3600 IN A 213.154.224.48
open.nlnetlabs.nl. 10200 IN A 213.154.224.1
open.nlnetlabs.nl. 10200 IN AAAA 2001:7b8:206:1::1
open.nlnetlabs.nl. 10200 IN AAAA 2001:7b8:206:1::53
;; Query time: 80 msec
;; SERVER: 213.154.224.1#53(213.154.224.1)
;; WHEN: Sat Apr 17 14:15:50 2010
;; MSG SIZE rcvd: 250
И когда установлен DO:
Код: Выделить всё
[terminus@hius 14:15:50 /usr/home/terminus]$ dig +dnssec @open.nlnetlabs.nl. www.unbound.net. A
; <<>> DiG 9.4.-ESV <<>> +dnssec @open.nlnetlabs.nl. www.unbound.net. A
; (3 servers found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43126
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 8
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.unbound.net. IN A
;; ANSWER SECTION:
www.unbound.net. 7200 IN A 213.154.224.1
www.unbound.net. 7200 IN A 213.248.210.39
www.unbound.net. 7200 IN RRSIG A 5 3 7200 20100514235007 20100414235007 8114 unbound.net. PriP2HXtFipzYdDJg87ncLcLIPCFl5bbpTTSO6K4rFPLsubIdlccgakJ bl7xqpUhuhXprnUzhvzR2TQh/ECjlS4u2FjIXKtHCqrc8QTuxY/90+4g LuV3XN0yoera+M/kDkhJ1z0PPu7mbEpPxDEAz7JEpitpaH9KiBzWQllb 2AdEOU3zBJoS3n8yO7Y3Dp4DAnD20VPFmb3I0CelGgp9HBGY4rbFpJwE PbN3SYOok17mgfeVnayG2WQMJ9WLd0Wh5nvW57jTQWsATtb/StNuoU1z cy+3IyJYfTneAUoMRaBPyt7t+BzPdNUXeugwmUPproaaNfa6j2txWpye GoOSxQ==
;; AUTHORITY SECTION:
unbound.net. 7200 IN NS ns.secret-wg.org.
unbound.net. 7200 IN NS nom-ns1.nominet.org.uk.
unbound.net. 7200 IN NS open.nlnetlabs.nl.
unbound.net. 7200 IN RRSIG NS 5 2 7200 20100514235007 20100414235007 8114 unbound.net. mBPDftwXh8DH+ryAomYUBHD1+w3NGnR17qOSErUlCz1gbvDMAtisdYoC WWFf2C6hLTa3boJDDxQgzj3K1frGkpg9VlZxp8BuhJdq0xilF2zFdr/Q 0SaRyERBcB1k6cJzsCOniAyIV+/V8LFIZBLXIh3KqT9NaNdWw52ZDm3k JmOnIfGm0eo+P8oBXr3UEUxcuAFj0qFoz1lHnd/jR2of4cQE+/zMjf90 lJ3s/K9pc/6w2BtI8nxi1ZdHl8qd5PKMdDiv2II5poxOsIvor8M4nkSq kjK8MOpPqaHJsU+bNT7p2eFdi0agYsCqyMW8Bm0Fv7Y5qOz/v6K5Xkq4 BbC05Q==
;; ADDITIONAL SECTION:
ns.secret-wg.org. 3600 IN A 213.154.224.48
open.nlnetlabs.nl. 10200 IN A 213.154.224.1
open.nlnetlabs.nl. 10200 IN AAAA 2001:7b8:206:1::53
open.nlnetlabs.nl. 10200 IN AAAA 2001:7b8:206:1::1
ns.secret-wg.org. 3600 IN RRSIG A 5 3 3600 20100426223005 20100327223005 29009 secret-wg.org. R6Y65jXxh9LO/LIYkkYEeJpToaqUzYJAElFCRWitLH1bHa+cUEqhfM8/ SrA38Uic2tJ20JTmSGfraix5K0uutKl0ZhsuqAubUb4fhb+4MclHG7Vd BZQMmR2GA0+KZ+Uh
open.nlnetlabs.nl. 10200 IN RRSIG A 5 3 10200 20100513005004 20100415005004 18182 nlnetlabs.nl. Va/f+iYZvECMtFksEXJDLyINIV6dMfrcJHv2q5Oq6HMTlP/RNjOWH3L/ FdxlTLjEoSEtpfsVRsM+XDEzCwA+h0ONHAzuY0axvY55sgK6f4t71vJf 1EqwxXh8xiTs0ifhadgCQTZ3eDnzb+WuDYEyjAEyx0+LcQR3j1PxE8Cq GsE=
open.nlnetlabs.nl. 10200 IN RRSIG AAAA 5 3 10200 20100513005004 20100415005004 18182 nlnetlabs.nl. bb4a2ge8ntOP2hE26g02bBQ6JhRIVMHQmaOIbpKRuifMn24RvU/ON3b/ Ztz/w/8d1YGzjTWMKNnFNuZpfSEg1Rs7pIpHAT8ARirfeo8TrK+XkoT9 Rze2ZM8pBIXJdy8oj56fkd/rzgCO3MbSL6PJn4+khSSwi5MZ3cDsS9oK Mro=
;; Query time: 81 msec
;; SERVER: 213.154.224.1#53(213.154.224.1)
;; WHEN: Sat Apr 17 14:16:50 2010
;; MSG SIZE rcvd: 1344
Точно так же и с корневыми серверами. Если раньше их спрашивали без флага DO, то и отвечать они будут так же без сигнатур. Ни для кого ничего не поменяется.
Те еденицы у кого уже развернут DNS-кеш с поддержкой DNSSEC тоже ничего не заметят так как флаг DO при запросах устанавливается не для всех, а только для тех зон, для которых на кеше вручную установлены (или динамически полученны в процессе работы) публичные ключи для проведения валидации. Сейчас это могут быть только ключи для репозиториев DLV и ITAR, или для тех зон от которых специально вручную получили публичные ключи.
На работу виндовых клиентов это так же не повлияет - они спрашивают только свой кеш сервер и с корневыми никак не общаются.
Короче, спать можно спокойно. Люди занимающиеся внедрением поддержки DNSSEC в глобальной структуре DNS, не зря получают свои зарплаты. Чего нельзя сказать обо всяких Икспертах пишущих про "мыфсеумрем".