DNSSEC 可以避免我国 DNS 污染么？

首先你本地的 DNS 得支持

dnssec 只是确保返回的数据是有效的，但不提供加密等功能，所以不能防止 dns 污染，如果要防污染，可以让 dns

（不小心点了回复，接上文） 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询，也可以用 dnscrypt ，这些是客户端防污染措施，域名本身开启 dnssec 不能止污染

用 tcp 端口 加密转发到国外服务器上面，然后解析结果 加密传回来，在我大局域网内 应该各省不会有
我大 GFW 的存在了

dnssec 可以保证要么用户得到正确的记录，要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec

@zsj950618 要 DNS 支持。不支持说这个都没用

没用的，开 dnssec 前是：被污染。开 dnssec 后有两种情况，一是被污染；二，如果 DNS 服务器支持，那就是无法访问，返回的 IP 地址作为无效。总之，不能防污染，但能验证是否污染。

DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ，这样就算 DNS 被污染了，运营商也不给你做缓存和篡改了，被污染还能保持访问，而且安全性兼顾。

@mewsf tcp 查询没用的，我试过在国内查.一些.网站

@z991238 也不需要缓存 DNS 服务器支持，客户端使用自己的一套 DNS 不要运营商的缓存，就能支持 DNSSEC 。

首先，网站得支持，然后得 NS 服务器支持，然后得递归 DNS 支持，所以没什么卵用，还是老老实实 TCP 查询或者非 53 端口

@a86913179
@ZE3kr

快 10 年过去了，回来看这个问题。是不是现在我都用 Doh 查询了，那 DNSSEC 这个东西就没什么用了？

DNSSEC 和 DOH 冲突么？

我刚刚在 CF 上给站点开启 DNSSEC ，目前看了一些文章和回答之后感觉很困惑，似乎没什么用。这种东西怎么不退出历史舞台。。。

@daisyfloor 不冲突。你这个问题就好比 “我现在都用加密的 VPN 访问网页了，所以 HTTPS 这个东西没什么用了” 一样