Надежность OpenNIC DNS серверов

вопрос истины не является техническим по своей сути, поэтому вы никогда не сможете полностью ответить на такой вопрос, как "должен ли я доверять X", особенно если вы добавите "... не делать действие Y в каком-то Z далеком будущем".

тем более, что в вашем вопросе вы, похоже, не уверены в самом провайдере и в том, что происходит на пути между провайдером и вами.

если вы хотите быть больше в контроле вашего процесса разрешения, то вы не имеете главным образом никакой другой выбор чем бегущ ваше собственный рекурсивный сервер имен кэширования, либо непосредственно на вашем хосте, либо на другом, которому вы бы доверяли. Особенно, если вы хотите полностью убедиться в использовании функций, предоставляемых DNSSEC: если вы используете удаленный проверяющий сервер имен, вы доверяете ему правильно выполнять все вычисления DNSSEC.

так что я даже не буду пытаться оценить, если 1.1.1.1 (CloudFlare) или 8.8.8.8 (Google) или 9.9.9.9 (IBM+PCH+GlobalCyberAlliance) или OpenNIC или любое другое на https://en.wikipedia.org/wiki/Public_recursive_name_server или elsewere является надежным и более надежным, чем другой. Это также очень личное мнение (кому Вы доверяете), и оно меняется с течением времени.

ваше утверждение "но это определенно не масштаб для каждой семьи."это не так однозначно. Движение все больше и больше для людей, чтобы справиться с их разрешения DNS в дом (или один из предыдущих), а корневые серверы есть много потенциала. Обратите внимание, что проблема может не лежать там на самом деле, поскольку этот zonefile движется медленно, мал, и кэшируется везде. Проблема может быть гораздо больше на некоторых серверах имен TLD, таких как .COM, где zonefile имеет миллионы записей и регулярные изменения, которые не могут быть небольшими.

у вас есть различные варианты на столе, что вы иногда можете смешивать и сочетать:

1. использовать минимизация QNAME (поддержанный некоторой из вышеуказанной публики сервисы) на серверах имен, которые вы используете. Это дает меньше информации каждому серверу имен, оставляя протокол DNS работать точно так же, как раньше
2. вы можете использовать стандартный DNS поверх TLS чтобы иметь возможность запрашивать любой сервер имен, предлагающий вам это (опять же некоторые из публичных делают или планируют сделать) или даже "скоро" DNS по HTTPS. Делая это, конечно, вы просто перемещаете проблему: вы в безопасности от угонщиков на пути, но вам нужно установить аутентификация конечной точки, с которой вы обмениваетесь; опять же, проще, если вы управляете им самостоятельно.
3. некоторые советуют просто использовать" несколько " публичных DNS-серверов случайным образом (чтобы ни один из них не получал весь ваш трафик) и даже сравнивать результаты
4. у вас также есть некоторые более тонкие инструменты, такие как КЛ (С помощью getdns API), который пытается дать вам лучшие функции конфиденциальности мудрый, но также может быть настроен, чтобы вернуться к более ранней небезопасной механизм, если вы предпочитаете доступность и безопасность. Программное обеспечение как dnssec-trigger также пытается дать вам преимущества DNSSEC сначала с помощью серверов имен по умолчанию и проверки они действительно работают правильно и собирается обрабатывать запросы себя, если это необходимо.
5. чтобы быть исчерпывающим, мне нужно список DNSCrypt (открытый, но не стандартизированный), который направлен на предотвращение спуфинга. Нужно, однако конкретные клиенты и сервера для общения в этом протокол.

чтобы расширить свои знания, эта Вики может быть хорошим началом:https://dnsprivacy.org/wiki/