In realtà non è chiaro se DNSSEC sia "ciò che vogliamo".
In questo momento, la certificazione del sito Web, vale a dire come un browser Web si assicura che parli al sito giusto (quando si fa HTTPS) è fatto con certificati digitali emessi da circa un centinaio di autorità di certificazione root. Le CA radice sono entità che hanno deciso di entrare nel business dell'emissione di certificati e ciò che rende il centesimo così speciale è che hanno fatto un accordo con Microsoft / Apple / Mozilla / Google in modo da includere la loro chiave pubblica nel "trusted" "archivio di ogni browser (o sistema operativo). L'accordo include molti aggeggi e assicurazioni legali.
Anche se spesso criticato per la sua opacità, costo pubblico dei certificati individuali e alcuni errori ben pubblicizzati (ricerca "Comodo" e "DigiNotar"), il sistema PKI tende a funzionare, in senso economico: i siti commerciali li usano e la CA viene attaccata molto raramente (la maggior parte degli attacchi sta inducendo l'utente credulone a ignorare gli avvertimenti spaventosi che il browser emette quando trova qualcosa di sospetto con i certificati, piuttosto che affrontare il problema di sovvertire una CA esistente). C'è quindi un incentivo relativamente piccolo a cambiare le cose (cioè, ci sono molte persone che preferirebbero un altro sistema per una serie di ragioni, ma, alla fine, queste cose sono decise da coloro che pagano per questo).
DNSSEC riguarda l'eliminazione di questi CA root dal ciclo e conferisce invece il potere di certificazione alle persone che mantengono il DNS (la mappatura dai nomi dei server agli indirizzi IP), in modo tale che le due strutture sarebbero unite insieme: l'ereditarietà del nome di dominio (con la nozione di "sottodominio") sarebbe unita con l'ereditarietà PKI (con la nozione di "CA intermedio").
Non è chiaro se i nuovi inquilini sarebbero più competenti nel business CA rispetto al precedente; come ho già detto, il sistema attuale funziona già abbastanza bene e la certificazione non è la stessa del mapping dei nomi agli indirizzi. Non è nemmeno chiaro se tale concentrazione di poteri sia davvero una buona cosa. Per i grandi giocatori, non cambierebbe nulla: Verisign-the-CA e Verisign-the-registrar sono entrambi Verisign.
Dal punto di vista tecnico, DNSSEC offre una facile distribuzione di certificati (noti anche come "collegamenti firmati di identità alle chiavi pubbliche") attraverso il sistema DNS, ma non è un problema che doveva essere risolto: in questo momento, qualsiasi SSL / Il server TLS invia felicemente la sua catena di certificati come parte dell'handshake iniziale e funziona bene.
Quindi, date le incertezze sulla bontà del DNSSEC e la mancanza di problemi flagranti con l'infrastruttura PKI esistente, non c'è da meravigliarsi se l'implementazione è considerata non urgente dalle grandi aziende. Iniziamo a far funzionare IPv6.
Come indicato dai commenti qui sotto, DNSSEC ha qualche valore come se stesso per l'autenticazione delle informazioni DNS, che blocca l'avvelenamento del DNS. L'avvelenamento DNS è il facile modo di fare un attacco Man-in-the-Middle , ma sarebbe sbagliato credere che questo risolva i problemi MiTM; semplicemente rende le cose un po 'più difficili per l'attaccante (ad esempio l'attaccante deve usare un WiFI-ananas invece di abusare semplicemente un buco in un hotspot WiFi esistente). Ottenere garanzie sulla mappatura di un nome su un dato indirizzo IP non ti porta lontano se non puoi sapere se un dato pacchetto proviene davvero dall'indirizzo IP che è scritto nella sua intestazione.
In ogni caso, non fornisce molto valore aggiunto ai grandi server , e questo è sufficiente per spiegare la loro riluttanza.
(DNSSEC ha un valore militare , però: prevenendo l'avvelenamento del DNS, aiuta a difendersi contro i grandi attacchi denial-of-service che potrebbero far parte di una guerra elettronica globale. supportato dai governi, non dalle grandi compagnie - ma i giorni o ARPANET sono ormai lontani, e oggi Internet è il territorio delle iniziative private.)