DNSSEC utilizza i record NSEC (o NSEC3) per indicare che il nome di dominio richiesto non esiste. Il NSEC è stato criticato perché consente l'enumerazione delle zone.
Quali interruzioni, se dnssec è implementato senza record nsec, cioè, cosa succede se non c'è autenticazione di domini inesistenti? (se il dominio esiste, la risposta è autenticata, se il dominio non esiste, la risposta non è autenticata)
Come ho capito, DANE usa NSEC per proteggere contro MITM, ma non capisco esattamente come. L'hacker non eliminerebbe o corromperà le risposte autenticate NSEC?
Potrebbe non esserci modo di sapere se la risposta DNS doveva essere autenticata da DNSSEC o è stata (proposta non implementata) NSEC, successivamente modificata dall'attaccante a una risposta DNS non autenticata che punta a un host controllato da un attaccante.
Sto facendo bene? Ci sono altri problemi?