L'impostazione di DNSSEC in client (risolti dal sistema) con l'opzione allow-downgrade
ha qualche valore? Migliora la sicurezza?
Sì, come afferma la pagina man di resolved.conf :
Client programs looking up DNS data will be informed whether lookups could be verified using DNSSEC, or whether the returned data could not be verified (either because the data was found unsigned in the DNS, or the DNS server did not support DNSSEC or no appropriate trust anchors were known). In the latter case it is assumed that client programs employ a secondary scheme to validate the returned DNS data, should this be required.
Quindi, i programmi client possono fare un uso appropriato della risposta, avvisando l'utente di nessuna convalida di dnssec o mostrando la convalida di dnssec.
Leggi altre domande sui tag dnssec