% dig +dnssec www.isoc.org.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY,status: NOERROR,id: 49304
;; flags: qr rd ra ad; QUERY: 1,ANSWER: 2,AUTHORITY: 7,ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0,flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org.          IN  A

;; ANSWER SECTION:
www.isoc.org.       86382   IN  A   212.110.167.157
www.isoc.org.       86382   IN  RRSIG   A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=

注意两件事：

> dnssec标志 – 这会要求您的DNS服务器验证区域数据.
>响应标志行中的广告条目.这确认了区域数据是正确的.

[如果区域数据不正确,服务器将返回SERVFAIL错误]

但是,除非已将DNS服务器配置为自行执行DNSSEC验证,否则您的DNS服务器实际上不会返回该广告标志.我当然有.

您可以通过在named.conf文件中添加以下行来在递归BIND服务器中启用DNSSEC：

dnssec-enable yes;
    dnssec-validation yes;

和根区域的公钥的副本.然后,可以通过DNS层次结构跟踪签名链来验证其他域名.

您还需要一个相当新版本的DNS软件 – 只有较新版本支持RSA / SHA-256加密算法,该算法将用于签署根.这意味着BIND 9.6.2或Unbound 1.4.0