Il tuo registrar ha il diritto di gestire una sottozona dello spazio dei nomi DNS. Per i ccTLD (dominio di primo livello codice paese, ad esempio .us) questo è principalmente uno, per gTLDS (TLD globali come .com) ce ne sono diversi.
Se comunichi al tuo registrar il tuo DNS, il registrar definirà una nuova sottozona per il dominio e delegherà la risoluzione DNS. Ogni volta che le informazioni nel DNS vengono aggiornate, esegue il polling del DNS sopra di esso che le informazioni sono cambiate. Questo sarà principalmente il DNS dei registrar. A sua volta, il registrar inoltrerà queste informazioni ai diversi DNS di root.
Ora per le tue domande:
- Quanto è sicuro questo processo?
Questo processo non è molto sicuro, dal momento che il sistema non è stato progettato pensando alla sicurezza. Fondamentalmente si fida che qualsiasi informazione fornita sia corretta. Quindi, se un registrar canaglia vuole prendere in consegna un dominio, deve solo assicurarsi che i root server abbiano le informazioni false e non quelle corrette. Questa informazione può essere facilmente falsificata. Normalmente un registrar dovrebbe controllarlo e aggiornare solo i record per la propria sottozona.
Ancora peggio sono le risposte, dal momento che, quando il root server riceve informazioni, ogni DNS accetta ogni risposta ricevuta. Ciò significa che non è così difficile reindirizzare, ad esempio, Google a un IP fasullo. Questo è il motivo per cui DNSSEC è stato inventato, quindi le risposte possono essere firmate crittograficamente.
- Qualche registrar può aggiornare la root del mio name server?
Vuoi dire che qualsiasi registrar può fingere di essere il tuo server master DNS? Ogni DNS dovrebbe essere in grado di eseguire il polling dei dati dal tuo DNS, ma questo non dovrebbe essere un problema (meno lo spoofing menzionato sopra).
- Quali disposizioni di sicurezza sono in vigore?
Fidati, se puoi chiamare una disposizione di sicurezza. :) Se non credi nella fiducia, il lancio di DNSSEC è attualmente in corso. Non risolve tutti i problemi che ha il DNS, ma almeno alcuni. Permette principalmente di firmare le risposte DNS, quindi non è più così facile falsificare l'IP corrispondente. Per quanto ne so, è ancora possibile avvelenare la cache dei singoli DNS.