パブリックDNSはどのように機能しますか？

私はいくつかのWebサーバーとゾーンファイルに署名するためのDNSSECとDNSを持つ小規模の企業ネットワークがある場合。ゾーンファイルを編集して、TXTレコードなどの他のマッピングに加えてマッピング（名前 - > IP）を設定してから、ファイルに署名することができます。DNSSECをサポートしているクライアントはDNSに問い合わせてレコードを取得し、署名を検証します。

ユーザーが8.8.8.8のようにパブリックDNSを使用している場合、そこに自分のDNS TXTレコードを設定する方法を教えてください。8.8.8.8のようなパブリックDNSはDNSサーバーですか？それとも単にリゾルバーですか？どのようにパブリックDNS example.comがDNSSECを使用してDNSサーバーで認証されるのかを正確に解決するためにどのように機能しますか？誰が署名鍵を持っていますか？example.comそれともパブリックDNS？

8.8.8.8のようなパブリックDNSはDNSサーバーですか？それとも単にリゾルバーですか？

これはISPが提供するもののような単なるリゾルバです。ドメインがどのように管理されているかについては何も変わりません。レコードはまだあなたの「権威のある」サーバのzonefileに保存されています、そしてあなたはあなた自身のキーでゾーンに署名します。

ユーザーが8.8.8.8のようにパブリックDNSを使用している場合、そこに自分のDNS TXTレコードを設定する方法を教えてください。

あなたは違います。8.8.8.8がリゾルバであるので、それは代表団（NSレコード）のチェーンに従い、あなた自身の権威あるサーバーからレコードを取得します。（「google.com」などの他のドメインを解決するのとまったく同じ方法で...）

そのため、ドメインがパブリックであり（レジストラから購入された）、DNSサーバーがパブリックにアクセス可能であれば、何も変わりません。

もちろん、そのドメインが委任されていない場合（たとえば、それがよく似たTLDの下にある場合などmycompany.lan）、一般のリゾルバはまったくそれを見ることができません。だから、メイドドメインを使用しないでください。

パブリックDNSがDNSSECを使用してDNSサーバーで認証を行うexample.comを正確に解決する方法

DNSレコードを定期的に取得するには、上記を参照してください。また、既存の多数のドキュメントを参照してください。つまり、リゾルバは自分のサーバーを見つけるまでルートゾーンからNSレコードの連鎖をたどります。

DNSSEC検証は非常によく似ています：NSレコード（次のサーバーを指す）に加えて、各委任はDSレコード（次のゾーンの公開鍵を持つ）も持っています。リゾルバまたはバリデータは再びDSレコードのチェーンに従います。