Para responder sua primeira pergunta em uma palavra, "sim".
Para responder às suas perguntas, as práticas recomendadas geralmente são muito subjetivas e não se prestam bem ao formato do Stack Exchange. A regra geral é que deve haver uma resposta, e deve ser a resposta correta , em vez de um conjunto de opiniões que você está tentando extrair.
Dito isto, há duas advertências significativas para o que você está fazendo, e elas são significativas o suficiente para onde eu acho que vale a pena dar uma punhalada nele.
Saiba do que o DNSSEC está realmente protegendo você.
Até que a validação dos resolvedores stub seja mais difundida na implementação pelos fornecedores de sistema operacional, um pacote de resposta com o conjunto de bits AD
(dados autenticados) é basicamente o seguinte:
"I trusted this data, so you can also trust this data! ...If you trust me, and the network between us."
Leia isso com muito cuidado. Se seu objetivo é "[evitar] ter que implementar esses recursos internamente", certifique-se de entender o que você está recebendo do DNSSEC. A maioria das pessoas não. Isso significa que você é mais resiliente a ataques contra o servidor DNS recursivo remoto , mas ainda completamente aberto a ataques de envenenamento direcionados contra a sua infraestrutura . A probabilidade de alguém especificamente ter como alvo você é muito menor, é claro, mas supondo que você não seja o alvo, apenas escalas, bem como o quanto você tem a perder e o interesse de alguém nele.
Esses riscos são significativamente reduzidos se o caminho de rede entre você e o servidor recursivo que realiza a validação não cruzar a Internet. Isso é mutuamente exclusivo para a terceirização, embora o tráfego em si seja criptografado.
Nota: O OpenDNS implementa dnscrypt se você estiver interessado em aproveitá-lo, mas para isso Na rota, você teria que determinar que o nível de complexidade na implementação e no suporte a ela, versus apenas realizar sua própria validação do DNSSEC, vale a relação custo / benefício.
Você recebe o que paga.
Esta é uma regra universal para ambientes de TI de negócios. Não deveria ser surpresa que também se aplique aqui. Se você está introduzindo uma dependência externa à sua infraestrutura de rede, o que acontece quando esse serviço fica inativo? Qual é o seu caminho de remediação? Quem vai pagar pelos danos? Se o serviço está funcionando do ponto de vista dos outros, mas é interrompido de uma maneira restrita que afeta apenas o seu ambiente, com que rapidez você pode esperar que a parte remota leve sua opinião a sério e faça um reparo (SLA)?
Se você for criar esse tipo de dependência, verifique se está pagando pelo serviço de alguma forma. Você está sempre desistindo de algo adicionando uma dependência externa à sua rede sem uma assinatura de algum tipo, e a escolha de não fazê-lo está pesando suas chances na aposta.
Divulgação completa
Sou um operador de DNS para um MSO americano. Dito isso, pessoas como eu realmente não se beneficiam financeiramente de você seguindo este conselho. Migrar para longe do cluster DNS do seu ISP é menos carga do que nós gerenciamos.