建议支持dnssec about smartdns HOT 10 CLOSED

之前分析过DNSSEC，只能防止污染，但不能防止信息泄露。同时DNSSEC并没有广泛支持，比较小众。
所以目前暂不考虑支持DNSSEC。

但后面会支持DNS-over-tls

from smartdns.

DNS-over-tls速度较慢，而且国内没有支持的，国外也渺渺无几。dnssec虽然网站配置的少，但是dnssec–check–unsigned大部分dns都支持，目前已知dns污染一部分通过运营商，一部分通过墙，这可以防止通过运营商的那部分。
同时更重要的，dnssec几乎不会带来任何延迟，DNS-over-tls理论会带来至少3倍以上的延迟

from smartdns.

后面搞吧。

from smartdns.

已经支持DNS-over-TLS，可以用下看看，我使用后查询速度并没降低。
dnssec并不是RFC标准，也就不打算支持了。

from smartdns.

附议，希望可以支持，作为dnsmasq的上游，不支持dnssec，dnsmasq也无法使用dnssec

from smartdns.

不会支持DNSSEC，因为这个协议支持的服务器比较少。并且DNSSEC没有保密性可言，查询信息虽然无法伪造，但查询内容是明文，信息是泄漏的。
相比，TLS， HTTPS得到更多厂商支持，并且查询更加安全，保密。对于性能TLS, HTTPS这两种模式也做了性能优化，比如tcp fastopen, tls session reuse。所以性能也很好了。

建议使用TLS，HTTPS代替DNSSEC.

from smartdns.

DNSSEC的目的在于验证
并且 DNSSEC 和 DoT/DoH 并不冲突...吧
似乎支持DoT/DoH的DNS提供商一般也会一并提供DNSSEC服务...

from smartdns.

DNSSEC并不是强制的，并且国内服务器也不全支持DNSSEC。没法做到有效验证结果是否正确。

from smartdns.

DNSSEC 用于保证 CERT 记录，SSHFP 记录，OPENPGPKEY 记录，IPSECKEY 记录 DNS 结果的正确性，而 smartdns 不支持 DNSSEC 会导致用户无法通过 DNSSEC 验证这些记录是否正确，进而导致网络安全受到威胁（中间人攻击）

国内服务器也不全支持DNSSEC

这不是理由，smartdns 的用户不一定只使用国内服务器，smartdns 在大多用户手里是分流使用的，比如我本人就使用白名单制的列表，仅在白名单上的查询国内 DNS，对于这种使用场景来说，国内服务器不支持 DNSSEC 不影响 DNSSEC 正常工作

dnssec并不是RFC标准，也就不打算支持了。

DNSSEC 是 IETF 建议标准 https://datatracker.ietf.org/doc/html/rfc2535
而且此协议在十年前就已经被所有根域名服务器支持，可见其也是事实标准

from smartdns.

不会支持，并不是所有域名都配置了DNSSEC，无法保证结果没问题，DOT，DOH已经很成熟了，建议走DOH，或DOT。

from smartdns.