Si DNSSEC est si utile, pourquoi son déploiement inexistant pour les domaines de haut?
J'ai lu plusieurs documents sur DNSSEC, et il semble que cela empêche de nombreuses classes d'attaque et que les deux seules réciproques possibles sont que son déploiement est difficile (DNSSEC est complexe) et que vous pouvez parcourir les enregistrements DNSSC et trouver tous les enregistrements. dans votre domaine. En outre, toutes les TLDS ne supportent pas la DNSSEC.
J'ai essayé tous les domaines .com dans Alexa's Top Sites Liste (premières pages), et seule PayPal.com sur la deuxième page contient des enregistrements DNSSEC. C'est hors de plus de 30 domaines .com ...
Les sites tels que Gmail, eBay, Amazon peuvent bénéficier d'une sécurité supplémentaire offerte par DNSSEC. Étant donné que non l'un d'entre eux n'a réellement déployé DNSSEC, je dois conclure qu'ils savent quelque chose de mal à propos de la DNSSEC qui envahit les avantages offerts par celui-ci. Qu'est-ce que cela pourrait être?
La seule chose qui ne va pas avec DNSSEC, c'est que c'est nouveau, DNS est (évidemment) important et les gens hésitent à gâcher avec leur configuration DNS. Si votre déploiement DNSSEC va mal, vous pouvez perdre toute votre présence Internet.
Pour savoir pourquoi vous voudriez authentifier les recherches DNS, lisez ce document sur la manière dont le grand pare-feu fuit les utilisateurs en dehors de la Chine:
http://www.sigcomm.org/sites/default/files/ccr/papers/2012/july/2317307-2317311.pdf
Ce n'est pas seulement la Chine qui mucks avec DNS, toute personne ayant accès au trafic entre un client, le résolveur du client ou le résolveur et vos serveurs DNS peuvent également modifier les réponses.
Les certificats de sites Web ne sont qu'une petite partie du puzzle ici.