刚刷到.de顶级域名因为DNSSEC配置错误全挂的新闻，评论区好多人吐槽DNSSEC是鸡肋，其实换个场景用着真的香。这就像给DNS解析加了层验签锁，我之前做OpenResty动态upstream模块的时候，特意加了内置的DNSSEC校验逻辑，直接在Nginx层面做DNS应答验签，比完全依赖上游递归DNS靠谱多了，能避免DNS污染导致的流量切到恶意节点的问题。
踩过的坑也不少，最容易翻车的就是密钥滚动阶段，没做双密钥过渡期的话分分钟和这次.de一样全量解析失败。之前写的模块已经开源在GitHub，搜nginx