Recentemente ho letto su DNSSEC e ho avuto una domanda su DNS-Resolver installati altrove su Internet.
Se un client utilizza un DNS-Resolver che non supporta DNSSEC riporterà all'utilizzo di DNS non sicuro? È questa la norma ora o la maggior parte dei risolutori è in grado di eseguire ricerche DNSSEC?
Se mi iscrivo a DNSSec per il mio dominio example.com, solo i Resolver che supportano DNSSec cercheranno la firma.
I revolver / client senza supporto per DNSSec non cercheranno una firma. Questo equivale a "ricadere" su non usare DNSSec.
Ci sono alcune rughe su come viene implementato DNSSec. Windows 7, ad esempio, fornisce un "risolutore di stub non convalidante per la sicurezza", il che significa che invece di mantenere la fiducia sul client, Windows 7 lascia a un server DNS che supporta DNSSec per convalidare la risposta che ottiene alla query DNS . Quindi, cosa succede se si è su Windows 7 ma si utilizza un server DNS che non supporta DNSSec?
È possibile verificare questo comportamento modificando il server DNS nelle impostazioni di Windows e quindi visitando il link , che è un dnssec deliberatamente rotto dominio.
L'ho provato una volta con un server non dnssec e di nuovo con Google DNS, che supporta DNSSec. Il mio server non-dnssec mi ha permesso di raggiungere il sito mentre Google DNS mi impediva di raggiungere il sito. Questo mi ha dimostrato che, come dici tu, "ricadrà" su non usare DNSSec.
Leggi altre domande sui tag dnssec