DNSSEC è una suite di estensioni di sicurezza per migliorare la sicurezza DNS. (ad es .: evitare l'avvelenamento della cache)
Tuttavia mi chiedevo come fa il resolver a sapere che il prossimo NS userà DNSSEC?
E.g.: qualcuno vuole risolvere www.example.com.
.
Supponiamo che l'autorevole NS example.com.
abbia DNSSEC abilitato e configurato correttamente.
Il resolver contatterà prima i root server .
, quindi i server TLD com.
e infine l'autorevole example.com.
. Tuttavia, poiché il resolver invia una query DNS all'ultimo NS, non sa se DNSSEC è abilitato.
Ciò significa che un utente malintenzionato può contraffare pacchetti DNS e fare i suoi avvelenamenti ...
So che ho torto, il resolver deve essere consapevole che il prossimo NS usa DNSSEC. Ma non capisco come!?