Sì, e sì.
DNSSEC è il primo tentativo riuscito di aggiungere uno standard di sicurezza al protocollo di infrastruttura DNS leggero. Il DNS deve rimanere leggero per consentire all'infrastruttura di Internet di operare in modo efficiente e rapido per soddisfare le richieste agli utenti. DNSSEC è retrocompatibile e rimane abbastanza leggero da rendere il DNS efficiente.
DNSSEC può essere eseguito dai server DNS senza la conoscenza o la partecipazione dei computer client. Il termine DNSSEC è un po 'ridondante poiché DNSSEC è retrocompatibile. Un server DNS che esegue la convalida DNSSEC invierà risposte attendibili alle query DNS. Nello specifico, lo standard DNSSEC significa che nel momento in cui la risposta viene inviata dal server DNS, il server DNS deve avere la prova crittografica che la risposta è corretta e attendibile, altrimenti il server DNS non invia nulla.
Il problema principale è che DNSSEC non è completamente implementato sui server DNS. Alcuni server lo implementano, altri no. Se un client è configurato per richiedere che i server DNS eseguano la convalida DNSSEC, il flag AD indicato è ridondante, in particolare poiché un server DNSSEC non deve inviare informazioni non attendibili ai client. I computer Windows possono essere configurati per fare affidamento solo su risposte DNS autenticate, e questo è ciò che Microsoft intende quando si parla di "computer non compatibili con DNSSEC non validi". Vedi la loro discussione , per i dettagli.
Come si osserva, poiché il server DNS sta eseguendo l'autenticazione e il client non lo è, è possibile che gli attacchi vengano inseriti tra il server e il client. Tali attacchi potrebbero includere l'avvelenamento della cache DNS locale del client e lo spoofing delle risposte del server. Da un punto di vista della sicurezza, si vorrebbe che il client confermasse la risposta DNS. Tuttavia, ci sono probabilmente ostacoli di implementazione ed efficienza per la creazione di un sistema del genere.