интересный момент: 8.8.8.8 с лаптопа мне возвращает "существующую" запись, а локальный роутер (который в реальности форвардит всё на 8.8.8.8, но сквозь туннель до сервера в московском ДЦ - SERVFAIL)

хм... перехват?

судя по всему. Оператор - местный городской некогда монополист, купленный домом.ру

а, хаббардисты :)))

тут надо ещё проверить, а не перепроверяет ли локальный ресолвер. Тогда норм - он тащит все записи и честно говорит "всё ок". некстати, я не знаю что происходит, если ресолвер вообще DNSSEC не проверяет

дом ру подсовывает свои ответы

dig @77.88.8.8 dnssec-failed.org a +dnssec

; <<>> DiG 9.9.5-3ubuntu0.17-Ubuntu <<>> @77.88.8.8 dnssec-failed.org a +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19965
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

ну все

schors, это DNS Яндекса, кстати. Что случится с теми, кто использует DNS Яши как основные/единственные?

а, эти. Ybxtuj

Ничего

У dns1.yandex.net. & dns2.yandex.net. тоже NOERROR, это DNS для сайтов на https://pdd.yandex.ru

schors, просто отключите dnssec и все