VS> С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому VS> DNS-серверу и сам не делает dnssec validation, то провайдер сделает со мной что VS> хочет.
А если провайдер редиректит запросы на свои DNS-сервера принудительно и по сути делает прозрачное проксирование DNS, а "твой компьютер" делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься без интернета. Я с таким у клиентов уже сталкивался два раза в разных местах. Как уже писал в UAFUG, определить такую ситуацию достаточно легко, если уже в неё попал. Достаточно сделать вот такой запрос к серверу whoami.ultradns.net:
; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer ; (1 server found) ;; global options: +cmd whoami.ultradns.net. 0 IN A 109.94.1.18
В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net. Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то из провайдерских серверов, как в данном примере, когда вернулся IP-адрес провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18] вместо реального адреса со внешнего интерфейса спрашивающей машины, который даже в другой IP-сети /24.
В такой ситуации тебе либо приходится "жрать что дают", либо дополнительно платить за VPN куда-то и туннелировать трафик DNS туда.
Eugene -- For the Colonel's Lady an' Judy O'Grady Are sisters under their skins! --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)