Se mi iscrivo a DNSSec per il mio dominio example.com, solo i Resolver che supportano DNSSec cercheranno la firma.
I revolver / client senza supporto per DNSSec non cercheranno una firma. Questo equivale a "ricadere" su non usare DNSSec.
Ci sono alcune rughe su come viene implementato DNSSec.
Windows 7, ad esempio, fornisce un "risolutore di stub non convalidante per la sicurezza", il che significa che invece di mantenere la fiducia sul client, Windows 7 lascia a un server DNS che supporta DNSSec per convalidare la risposta che ottiene alla query DNS . Quindi, cosa succede se si è su Windows 7 ma si utilizza un server DNS che non supporta DNSSec?
È possibile verificare questo comportamento modificando il server DNS nelle impostazioni di Windows e quindi visitando il link , che è un dnssec deliberatamente rotto dominio.
L'ho provato una volta con un server non dnssec e di nuovo con Google DNS, che supporta DNSSec. Il mio server non-dnssec mi ha permesso di raggiungere il sito mentre Google DNS mi impediva di raggiungere il sito. Questo mi ha dimostrato che, come dici tu, "ricadrà" su non usare DNSSec.