Názor k článku
Google validuje DNSSEC na svých veřejných DNS (aktualizováno) od Ondřej Caletka - Ano, chápeš to naprosto správně. Bez trust anchor...

Ano, chápeš to naprosto správně. Bez trust anchor jsou všechny DNSSEC data vyhodnocena jako neurčitá (indeterminate) a propuštěna dál. Postup zadání trust anchoru je třeba na stránkách https://labs.nic.cz/page/905/dnssec-za-pet-minut/

Co se týče doplňku pro Chrome, existují dvě verze. Ta starší se opírala pouze o AD flag od DNS serveru, takže pokud byl v doplňku nastaven tvůj DNS server, nemohl být klíček nikdy zelený, jen žlutý (v neurčitém stavu DNS server AD flag nedává). Druhá verze pluginu ale už provádí kompletní validaci autonomně (má trust anchor v sobě) a navíc kontroluje IP adresu, na kterou se prohlížeč připojil. Takže zelený klíček znamená, že se podpis podařilo ověřit a zároveň se prohlížeč připojil na správnou adresu. Takže funguje zcela nezávisle na nastavení jakýchkoli DNS serverů.