DNSSEC - Что он не охватывает?

На самом деле этот вопрос должен быть таким: «Что делает DNSSEC?»

Чтобы ответить на этот вопрос, DNSSEC - это способ проверить, что данные, которые вы получаете обратно с сервера, являются законными. Записи подписываются закрытым ключом, который затем можно проверить с помощью открытого ключа, опубликованного в наборе записей.

Он не шифрует записи, чтобы люди не могли их увидеть (весь смысл DNS состоит в том, чтобы распространять эту информацию для общего пользования, так что в подавляющем большинстве случаев это не вызывает беспокойства).

Он также не защищает от DDoS-атак, атак отражения, атак усиления и т. Д.

Вы также можете обратиться к RFC 3833, Анализ угроз системы доменных имен Чтобы получить больше информации.

Это зависит от вашего определения «безопасности». Если мы используем «триаду ЦРУ» - конфиденциальность, целостность и доступность -, DNSSEC применяется (и был разработан) только для второй: целостности.

Основные проблемы, которые не решает DNSSEC:

1. ложные данные, вставленные на главный сервер - если кто-то взломает вашего оператора DNS, он теоретически может вставить ложные данные, которые будут подписаны вашим собственным ключом.

2. шифрование DNS-запросов - содержание запросов и полученные ответы по-прежнему отображаются в виде открытого текста

Первая проблема в настоящее время не решена. Последнее на самом деле не рассматривается как реальная проблема безопасности, поскольку многие люди в любом случае охотно позволяют третьим сторонам (Google, OpenDNS и т. Д.) Видеть свои DNS-запросы.

Лучший ответ на этот вопрос - взглянуть на записи DJB по этому поводу:

http://cr.yp.to/djbdns/forgery.html

У LWN есть и хорошие статьи:

http://lwn.net/Articles/230050/

И несколько отличных ответов с этого самого сайта:

DNSCurve против DNSSEC

Вы можете найти это обсуждение интересный.