Die Frage der Wahrheit ist im Kern keine technische Frage, daher können Sie eine Frage wie "Sollte ich X vertrauen" niemals vollständig beantworten, insbesondere wenn Sie hinzufügen "... in einer fernen Zukunft keine Aktion Y ausführen".
Insbesondere, da Sie in Ihrer Frage sowohl hinsichtlich des Anbieters selbst als auch bezüglich des Pfads zwischen dem Anbieter und Ihnen unsicher sind.
Wenn Sie Ihren Auflösungsprozess besser steuern möchten, haben Sie hauptsächlich keine andere Wahl, als einen eigenen rekursiven Zwischenspeicherungsnamenserver auszuführen, entweder direkt auf Ihrem Host oder auf einem anderen, dem Sie vertrauen könnten. Insbesondere, wenn Sie sich vollständig über die Verwendung der von DNSSEC bereitgestellten Funktionen informieren möchten: Wenn Sie einen entfernungsüberprüfenden Nameserver verwenden, vertrauen Sie darauf, dass er alle DNSSEC-Berechnungen korrekt für Sie ausführt.
Ich werde also nicht einmal versuchen zu beurteilen, ob 1.1.1.1(CloudFlare) oder 8.8.8.8(Google) oder 9.9.9.9(IBM + PCH + GlobalCyberAlliance) oder OpenNIC oder ein anderer auf https://en.wikipedia.org/wiki/Public_recursive_name_server oder sonst vertrauenswürdiger oder vertrauenswürdiger ist als ein anderer. Es ist auch eine sehr persönliche Meinung (wem geben Sie Ihr Vertrauen) und sie verschiebt sich mit der Zeit.
Ihre Behauptung "aber es würde definitiv nicht für jeden Haushalt gelten." ist nicht so klar geschnitten. Die Bewegung ist mehr und mehr für Menschen gedacht, die ihre DNS-Auflösung im eigenen Haus erledigen (oder an einen der vorherigen öffentlichen weiterleiten), und die Root-Server verfügen über ausreichend Kapazität. Beachten Sie, dass das Problem möglicherweise nicht wirklich dort liegt, da dieses Zonefile sich langsam bewegt, klein ist und überall gecacht wird. Das Problem könnte bei einigen TLD-Nameservern weitaus größer sein .COM, beispielsweise wenn das Zonefile sowohl Millionen Einträge enthält als auch regelmäßige Änderungen, die möglicherweise nicht klein sind.
Sie haben verschiedene Optionen auf dem Tisch, die Sie manchmal kombinieren können:
- Verwenden Sie die QNAME-Minimierung (unterstützt von einigen der oben genannten öffentlichen Dienste) für die von Ihnen verwendeten Nameserver. Dies gibt weniger Informationen an jeden Nameserver, während das DNS-Protokoll genau wie zuvor funktioniert
- Sie können das jetzt übliche DNS über TLS verwenden, um einen beliebigen Nameserver abfragen zu können, der Ihnen dies anbietet (einige öffentliche tun dies oder planen dies) oder sogar "bald" DNS über HTTPS. Dadurch verschieben Sie natürlich das Problem: Sie sind vor Entführern im Pfad sicher, müssen jedoch die Authentifizierung des Endpunkts festlegen, mit dem Sie sich austauschen. wieder einfacher, wenn Sie es selbst schaffen.
- Einige empfehlen, einfach "mehrere" öffentliche DNS-Server auf zufällige Weise zu verwenden (damit keiner von ihnen Ihren gesamten Datenverkehr erhält) und sogar die Ergebnisse zu vergleichen
- Sie haben auch einige subtilere Tools, wie Stubby (mit der getdns-API), die Ihnen die besten Funktionen hinsichtlich des Datenschutzes bietet, aber auch so konfiguriert werden können, dass sie auf einen früheren unsicheren Mechanismus zurückgreifen, wenn Sie die Verfügbarkeit über die Sicherheit ziehen. Software wie dnssec-trigger versucht auch, Ihnen DNSSEC-Vorteile zu bieten, indem Sie Ihre Standard-Nameserver verwenden und überprüfen, ob sie tatsächlich richtig funktionieren, und Anforderungen bei Bedarf selbst bearbeiten.
- Um erschöpfend zu sein, muss ich DNSCrypt auflisten (offen, aber nicht standardisiert), das das Spoofing verhindern soll. Sie benötigen jedoch bestimmte Clients und Server, um mit diesem Protokoll zu kommunizieren.
Um Ihr Wissen zu erweitern, kann dieses Wiki ein guter Anfang sein: https://dnsprivacy.org/wiki/