启用了 DOT、DOH 之后，还需要开启 DNSSEC 吗？

你要有域名所有权的话可以开

要。dnssec 防污染； doh 加强隐私。

@mayx DNSSEC 还需要域名所有权？
@whee1 我感觉没用，以阿里 DNS 为例，被墙的域名的 IPv6 被它污染成 2001::地址了，开了 DNSSEC 也一样，用墙外 DNS 查询就很正常了。

@v2tudnew 没有所有权你想咋给 dns 加证书？

@v2tudnew #3 你把 DNSSEC 当成和 https 一样含有证书就好懂了。DNSSEC 需要双方（查询方，被查询方）都支持才行。

看场景。做权威 DNS 可以开，做转发 DNS 没必要。

@mayx #4 那真的搞不懂了，AdGuard 这功能开启后所有域名都可以验证，没说查询的一定要有所有权，有验证结果显示。
@whee1 #5 那我估计是阿里递归查询出的问题，这样的话其实就是我和阿里之间 DNSSEC 有效，而 DOT 也包含了这一步，那就没意义了。
@Kobayashi #6 这样

DOT 的 853 端口我这好像被封了，你们那还能用么

@miaomiao888 你怎么确认被封了？

@miaomiao888 #8 DOT 墙外 DNS 都封的差不多了，我这就谷歌的能用，DOH 的 CF 的还能用，可能还有一些幸存的，主要 SNI 太明显了，IP 也固定，想墙也不难。

@bclerdx tcping 101.101.101.101 853 之前是一直能通，前几天开始除了谷歌的全不通了，但谷歌延迟 200 多，不想用

@v2tudnew 现在只能用非标准端口和 DOH 的几个 DNS 了，CF 的延迟也是有点高，用的台湾的 dns.twnic.tw/dns-query

@miaomiao888 #11 延迟是低，但是丢包率太高了。我这高达 60%，CF 丢包率我这就 10+%。谷歌也有 30+%。
https://s3.ax1x.com/2021/03/07/6Mos7q.png