Как сказано в названии.
Дизайн DNSSEC и его реализация в Bind (и таких вещах, как Unbound) совершенно очевидно допускают любое использование. При желании они могут выполнять проверку DNSSEC, возвращая SERVFAIL, если проверка не удалась. Или, в качестве альтернативы, они могут быть настроены на «поддержку» DNSSEC, но не на выполнение фактической проверки, позволяя клиентскому программному обеспечению использовать бит «DO» (с EDNS) для запроса записей DNSSEC и выполнения проверки самостоятельно.
Примечательно, что собственные общедоступные DNS-серверы Google, похоже, следуют последнему, позволяя запросам DNSSEC проходить через них, но не выполняя проверку DNSSEC самостоятельно.
Какой из этих двух способов предполагалось запустить DNSSEC? Если вам нужен контекст, представьте, что у вас есть несколько небольших серверов веб-приложений и кэширующий рекурсивный DNS-сервер, через который они могут выполнять DNS-запросы.
Я не знаю насчет «предполагаемого»; возможно, время покажет, что работает лучше всего.
Но если у вас уже есть кеширующий сервер, я позволю ему выполнить проверку. Основная причина: у вас есть одно место, где вы можете регистрировать сбои проверки (и, возможно, при необходимости настраивать исключения - когда сайт вы иметь достигнуть побил записи DNSSEC).
Это не масштабируется для множества клиентов.