Non ho mai capito cosa succede dietro le quinte quando vado al mio registrar e inserisco le informazioni sul mio name server.
Qualcuno può approfondire cosa succede quando viene effettuato un aggiornamento e come viene applicato coerentemente al risultato Whois?
Il tuo registrar ha il diritto di gestire una sottozona dello spazio dei nomi DNS. Per i ccTLD (dominio di primo livello codice paese, ad esempio .us) questo è principalmente uno, per gTLDS (TLD globali come .com) ce ne sono diversi.
Se comunichi al tuo registrar il tuo DNS, il registrar definirà una nuova sottozona per il dominio e delegherà la risoluzione DNS. Ogni volta che le informazioni nel DNS vengono aggiornate, esegue il polling del DNS sopra di esso che le informazioni sono cambiate. Questo sarà principalmente il DNS dei registrar. A sua volta, il registrar inoltrerà queste informazioni ai diversi DNS di root.
Ora per le tue domande:
Questo processo non è molto sicuro, dal momento che il sistema non è stato progettato pensando alla sicurezza. Fondamentalmente si fida che qualsiasi informazione fornita sia corretta. Quindi, se un registrar canaglia vuole prendere in consegna un dominio, deve solo assicurarsi che i root server abbiano le informazioni false e non quelle corrette. Questa informazione può essere facilmente falsificata. Normalmente un registrar dovrebbe controllarlo e aggiornare solo i record per la propria sottozona.
Ancora peggio sono le risposte, dal momento che, quando il root server riceve informazioni, ogni DNS accetta ogni risposta ricevuta. Ciò significa che non è così difficile reindirizzare, ad esempio, Google a un IP fasullo. Questo è il motivo per cui DNSSEC è stato inventato, quindi le risposte possono essere firmate crittograficamente.
Vuoi dire che qualsiasi registrar può fingere di essere il tuo server master DNS? Ogni DNS dovrebbe essere in grado di eseguire il polling dei dati dal tuo DNS, ma questo non dovrebbe essere un problema (meno lo spoofing menzionato sopra).
Fidati, se puoi chiamare una disposizione di sicurezza. :) Se non credi nella fiducia, il lancio di DNSSEC è attualmente in corso. Non risolve tutti i problemi che ha il DNS, ma almeno alcuni. Permette principalmente di firmare le risposte DNS, quindi non è più così facile falsificare l'IP corrispondente. Per quanto ne so, è ancora possibile avvelenare la cache dei singoli DNS.
Dipende dal registrar. Ciascuno offre un'API personalizzata e la documentazione è solitamente dietro una pagina di accesso per i rivenditori.
Quindi la risposta a quanto è sicuro e quali sono le disposizioni in vigore è "Dipende". Tuttavia, solo il registrar che controlla il dominio può aggiornare i server dei nomi di root.