Le risposte DNS regolari sono come i biglietti da visita - mentre generalmente puoi fidarti di loro quando qualcuno ti dà le mani, in realtà sono solo inchiostro e cartoncino, e chiunque sia anche un po 'motivato può ottenere il proprio da una stampa negozio. E non c'è modo di far valere la loro validità; Posso andare a (ad esempio) VistaPrint e spediranno le mie carte "He-Man, Master of the Universe" proprio a me.
Le risposte DNS di DNSSEC sono come le patenti di guida. Hanno una foto. Hanno una striscia magica con una copia delle informazioni. Hanno olografi difficili da forgiare. Hanno strati stampati con inchiostro speciale che si mostrano solo sotto la luce ultravioletta. In breve, sono state adottate numerose misure tecniche per renderli difficili da forgiare.
Quando i dati autentici sono importanti, DNSSEC / licenze sono preferiti. Proprio come l'ufficio postale richiede una licenza e non un biglietto da visita per l'identificazione, quindi la tua azienda potrebbe richiedere i dati DNSSEC per l'utilizzo nella connessione alla tua banca.
Su richiesta di @schroeder (anch'io farò un tentativo io stesso)
Un cliente passa settimanalmente a un local store perché un amico gli ha detto che company A (chi gestisce il negozio) è affidabile. Il cliente in realtà non sa company A , conosce solo local store perché il negozio si trova nella sua area.
Un giorno, company A è fallito e un% non fidato% co_de acquista company B , continuando il suo business originale esattamente come prima. Il cliente non nota una differenza e continua a comprare al local store che ora è di proprietà di un non affidabile local store , senza conoscere la differenza.
Quando company B è stato protetto con DNSSEC, il local store in realtà notificherà al cliente che local store è cambiato in company A e rifiuta il cliente di entrare nel negozio.