Я знаю, что основная цель DNSsec - предотвратить подделку вашей записи DNS. Но какие из используемых процессов / подпрограмм активно предотвращает DNSsec?
Хорошее введение в угрозы, связанные с DNS, дается в RFC3833. По сути, DNSSEC - это один из способов убедиться, что сервер, к которому вы подключаетесь, действительно легитимен. Однако это всего лишь один уровень безопасности, который сам по себе не является удовлетворительным: он не препятствует перенаправлению вашего трафика в другое место или интерпретации пакетов, если они не зашифрованы.
Главный недостаток DNS в настоящее время заключается в том, что он должен поддерживаться на обоих концах. Это не сделает ваш DNS более безопасным, если он также не реализован на стороне клиента. Например, веб-браузеры не проверяют DNSSEC без сторонних валидаторов, таких как Валидатор DNSSEC / TLSA от CZ.NIC.
DNSSEC находится в тени SSL-сертификатов, поскольку SSL решает гораздо больше проблем, чем DNSSEC. Одна проблема, которую не решают SSL-сертификаты, - это мошеннические центры сертификации или неправильное подтверждение личности во время получения сертификата, что может привести к выдаче действительного и связанного сертификата не тем объектам. Это может быть один из примеров того, что вы искали.
Следовательно, сочетание DNSSEC и SSL затрудняет подделку сертификатов. С TLSA записи в подписанной зоне DNSSEC сертификат должен быть авторизован в двух независимых цепочках. Маловероятно, что злоумышленник сможет получить доступ к ним обоим. Если вы реализуете и то, и другое и заставите своих клиентов требовать их, вы сможете использовать DNSSEC с пользой.
Я бы сказал, что все сводится к тому, что вы уже сказали.
Если у вас есть DNSSEC, реализованный на обоих концах (проверяющий преобразователь и подписанная зона), то DNSSEC не позволяет человеку посередине изменить ответ без обнаружения, а также избежать риска того, что злоумышленник, не использующий MITM, может выиграть то, что, для неаутентифицированные данные - это простая гонка угадывания порта и идентификатора транзакции до получения реального ответа.
Наличие должным образом аутентифицированных данных также делает возможным использование DNS для дополнительных вещей, которые еще больше зависят от возможности действительно доверять данным, например ДЕЙН (TLSA), Отпечатки SSH (SSHFP), и т.д.