No. DNSSEC non protegge l'integrità di un nome DNS se il registrar per tale nome è malevolo (o compromesso). Il registrar per grumpyavians.com
è l'ultima fonte di autorità per chi possiede grumpyavians.com
(e, ad esempio, qual è la chiave pubblica per grumpyavians.com
). Di conseguenza, se il registrar è malintenzionato o compromesso, il registrar può trasferire il controllo o altrimenti sovvertire la sicurezza.
Detto questo, credo che la situazione non sia così grave come temevi (non è il caso che qualsiasi registrar ovunque possa compromettere ogni nome DNS esistente). Ad esempio, per quanto ne so, alcuni registrar casuali non possono assumere il controllo di ogni nome di dominio sotto .com
.
Ecco la mia comprensione di come funziona. Oggi, Verisign amministra .com
. Ciò significa che Verisign controlla totalmente .com
e ha le chiavi di firma DNSSEC che gli consentono di creare record arbitrari per foo.com
nomi. Esiste un lungo elenco di registrar di domini, che possono tutti registrare i nomi di dominio in .com
. Il modo in cui funziona è che il registrar interagisca con Verisign per richiedere che venga assegnato un nome (ad esempio grumpyavians.com
); Verisign conferma che nessuno possiede già grumpyavians.com
, quindi lo assegna al registrar e conserva una registrazione di questo incarico. Il trasferimento di domini tra registrar avviene in modo simile.
Supponiamo che tu possieda un nome di dominio valido sotto .com
(ad esempio, hungryfelines.com
). A chi sono vulnerabili i record DNSSEC? Sono vulnerabili a Verisign e al tuo registrar. Non credo che tu sia vulnerabile a nessun altro registrar, supponendo che il processo di trasferimento del dominio sia adeguatamente protetto. Avvertenza: il processo di trasferimento del dominio va oltre lo scopo di DNSSEC, ma nella pratica è un potenziale punto di vulnerabilità significativo.