Поскольку некоторые люди задаются вопросом, как DNSSEC может повлиять на глобальную цензуру, я хотел бы знать, может ли DNSSEC защитить зону от несанкционированного доступа. частично изменен бабушкой и дедушкой зоной. (Суть этого вопроса не в том, чтобы предположить, что ICANN или ее членам нельзя доверять, а в том, чтобы выяснить, как DNSSEC влияет на те полномочия, которые они могут использовать в теории.)
Например:
Теперь, предполагая, что DENIC не удаляет example.de из своей зоны, смогут ли они перенаправить субдомен abc.example.de в другое место, вернув подписанные записи с серверов .de для abc.example.de?
Точно так же, возможно ли, чтобы корень DNS легко возвращал подписанные поддельные записи домена третьего уровня xy.z, в то время как зона второго уровня z не участвует в этом и не затрагивается в противном случае?
У ваших родителей всегда есть возможность возиться с вашей зоной. К сожалению, им нужно доверять.
Технически .de будет подписывать DS-запись, которая представляет собой хэш DNSKEY, который используется для подписи example.de. Если .de делает правильная вещь и указывая на правильные ключи example.de, тогда они не могут связываться с данными. Проблема в том, что .de также может указывать на свои собственные сфабрикованные ключи и свои собственные серверы имен, например, .de, и, таким образом, «брать его на себя». Они могут даже запросить ваши собственные серверы example.de, чтобы отразить все данные, кроме тех, которые они хотят изменить.
Итак ... Да, .de может заменить example.de, и с этим ничего не поделать если только вы убедили клиентов использовать сам DNSKEY example.de в качестве якоря доверия. Я подозреваю, что некоторые корпоративные среды могут это делать (доверять ключам своей компании, чтобы они не иметь чтобы требовать, чтобы восходящий поток был стабильным). Но, как правило, никто этого не делает, так как поддерживать кучу якорей доверия невозможно.
Что касается ваших бабушек и дедушек (корень, в вашем примере), для того, чтобы они связались с внуком, им пришлось бы взять на себя родительский контроль и опубликовать для них новые ключи. Итак, корень столь же могущественен и может захватить все, что находится под ним, но они должны сделать это, захватив всех детей, а не только внуков или внуков.