Teoricamente, l'avvelenamento della cache DNS non dovrebbe avere importanza, perché tutto ciò che è importante è protetto da SSL e IPsec.
- Allora perché DNSSec è stato sviluppato?
- I primi due protocolli non sono sufficienti?
SSL e TLS forniscono sicurezza di trasporto, ma dopo la risoluzione DNS. Quindi se la cache DNS è stata avvelenata, la connessione andrà al server sbagliato.
Ma dopo che la connessione è stata fatta e il TTL del DNS è es. un giorno e poi l'avvelenamento da dns ha luogo, questo non ha più alcun effetto, perché il client non risolverà il DNS (perché sa già dove connettersi ...).
Le due tecnologie sono progettate per diverse applicazioni.
IPsec non è tradizionalmente utilizzato su Internet, ma piuttosto su reti locali. Richiede inoltre un'infrastruttura di rete che supporti IPsec, che non è comune nei router SOHO e in altre apparecchiature non aziendali.
DNSSEC funziona su Internet ed è progettato per fornire una forma di PKI per DNS. Non fornisce sicurezza di trasporto, ma aiuta a prevenire il dirottamento del DNS.