将DNSSec封装到Dot或DoH中

Question

我读了几篇关于DNSSec如何工作的文章(这里和这里)。

DNSSec请求是未加密，我想知道是否可以将它封装到DoH或DoT请求中？

Answer 1

DNSSec请求是设置了DO (DNSSec OK)标志的正常DNSSec请求。DNSSec响应也是正常的DNS响应，也包括与DNSSec相关的记录。

DoH和DoT都只是在TLS连接(DoT)中发送原始二进制DNS请求和响应，或者作为HTTPS连接(DoH)中的主体或查询字符串发送。DoH还可以以JSON的形式发送DNS消息，这在本质上可以与二进制表示一样，只有触发了更多的热门词，需要更多的带宽和更多的处理开销。

DoT或DoH没有限制可以发送什么样的DNS消息。这意味着DNSSec也可以使用DoT和DoH完成。