Essa coisa toda do NRPT parece ser uma maneira de alinhar o DNSSEC com o DNSCurve , exceto que, em vez de ter um único padrão e especificação, como é o caso DNSCurve-se, eles estão simplesmente lançando um monte de outros não relacionados juntos em uma grande confusão de administração e configuração.
A implantação do DNSSEC para servidores recursivos e com autoridade é uma tarefa completamente diferente.
O que exatamente você está tentando realizar? No mundo Linux e BSD, se você quer simplesmente garantir que a verificação / validação do DNSSEC esteja ocorrendo, a melhor maneira de fazer isso é executar o seu próprio resolvedor recursivo ou de armazenamento em cache local. Para alguns detalhes de como é feito, dê uma olhada nas recentes mudanças que foram feitas no próximo FreeBSD 10, onde eles introduziram unbound na árvore de base, que, quando usada corretamente (por exemplo, se estiver definida como a única disponível resolvedor), não deve resolver nenhum nome de domínio que tenha o DNSSEC ativado, mas tenha registros que não estejam assinados corretamente, mas que deveriam ter sido assinados.
No que diz respeito a servidores autoritativos , se pretender alguma segurança e privacidade adicionais, a sua melhor aposta é executar o DNSCurve como front-end e, possivelmente, ainda ter DNSSEC no backend, se necessário .
Eu acho que para DNS recursivo , você estaria fazendo exatamente a mesma coisa, mas o contrário: talvez configure um local unbound para ser um resolvedor de cache / verificação, que emite todas as suas consultas através de um resolvedor recursivo DNSCurve, mas nunca de outra forma.
No entanto, em ambos os exemplos acima, acho que você está praticamente entrando em um território desconhecido.