Guardando tutti gli esempi di DNSSEC, vedi che la zona include non solo DNSKEY, ma anche un RRSIG del DNSKEY creato con lo stesso DNSKEY? Perchè è questo? Perché pubblicare un RRSIG autofirmato? Quale sicurezza aggiunge?
UPDATE: In effetti, RFC lo specifica, anche se non dice perché: link : " l'apice del bambino DNSKEY RRset DOVREBBE essere firmato con la corrispondente chiave privata "
Il record RRSIG è la prova che un certo RRset è stato pubblicato dal titolare di una determinata chiave.
Quando l'entità padre pubblica un record DS nella zona padre, in pratica dice "abbiamo ricevuto la prova che l'entità a cui abbiamo fatto questa delega è anche in possesso della chiave con l'hash che abbiamo pubblicato in il nostro registro DS " (tipo di un'istruzione ricorsiva, ma spero che tu la capisca).
Questo hash deve corrispondere al DNSKEY trovato nella zona figlio affinché DNSSEC convalidi. Si potrebbe dire che una partita in questa fase sarebbe sufficiente per dimostrare che la delega è valida. Ma firmando l'attuale DNSKEY RRset puoi anche essere sicuro che i dati all'interno della risposta DNSKEY provengono effettivamente dal titolare della chiave che corrisponde al record di DS.
Senza la firma i dati DNSKEY potrebbero essere effettivamente dannosi. A questo punto non riesco davvero a fare un attacco, ma è meglio prevenire che curare, credo?
Leggi altre domande sui tag public-key-infrastructure dnssec