Почему не работает DNSSEC на некторых сайтах, например, ya.ru?

Question

[siroB_1]

Поставил Technitium в LXC на Proxmox (Proxmox VE helper script) . Слушает на локалхосте. systemd-resolved, конечно, там выпилен. DNS Forwarders не настроено, т.е. Technitium, как я понимаю, сам рекурсивно обходит доверенные зоны. "Enable DNSSEC Validation" опция включена. Утилиту DIG запускаю непосредственно в контейнере. Читал много про DNS + DNSSEC, но в голове, покамест, не уложилось в общую картину.
Запускаю, например, две команды:

1. "dig 127.0.0.1 cloudflare.com +dnssec" - Как и положено, есть флаг "ad", есть запись "RRSIG", показывает ключ
2. "dig 127.0.0.1 ya.ru +dnssec" - Флага "ad" нет, ключа нет, но IP возвращает

Почему Technitium не может провалидировать yandex, хотя yandex поддерживает DNSSEC?
Допустим, у некоторых сайтов нет ещё поддержки DNSSEC, почему тогда Technitium не отбрасывает такие записи (валидности нет), а нормально разрешает/возвращает такие домены?

Answer 1

[Владимир Дубровин]

У крупных интернет-компаний (Google, Yandex, VK, Microsoft, AOL/Yahoo и тд) нет DNSSEC. Причина в основном в том, что если брать статистику глобальных сбоев DNSSEC и проблем безопасности за лет этак 5+ то вы не захотите включать DNSSEC если нужна доступность 99.99+ или если страшно за безопасность. А если брать лет за 10 то вообще не захотите. Cloudflare скорей исключение. В последние годы со сбоями лучше, в будущем есть шанс.

Если для зоны не включен DNSSEC, то он и не проверяется.