Recentemente, ho letto su DNSSEC e come funziona. Ho trovato altre domande e alcune risposte molto interessanti su questo e altri siti web relativi a questo argomento.
Tuttavia, ho una domanda a cui non sono riuscito a trovare una risposta da nessuna parte: come può un cliente sapere che una zona DNS dovrebbe essere firmata? Se machineA non ha mai risolto il nome example.com , in che modo DNSSEC impedisce a un utente malintenzionato di intercettare la query DNS lasciando machineA e risponde a tale query con una risposta DNS ben strutturata con un indirizzo IP malevolo, ma che sembra vieni dal resolver?
In altre parole, non riesco a capire come DNSSEC previene gli attacchi Man in the Middle. Se l'host non ha mai risolto il nome in precedenza, come può sapere che la risposta deve essere firmata?
Comprendo in che modo DNSSEC può proteggere contro l'avvelenamento della cache e in che modo viene garantita l'integrità dei messaggi, ma tutto sembra crollare se qualcuno si trova semplicemente tra la macchina dell'utente e il resolver per eliminare le informazioni dnssec.