Recientemente, he estado leyendo sobre DNSSEC y cómo funciona. Encontré otras preguntas y algunas respuestas muy interesantes en este y otros sitios web relacionados con este asunto.
Sin embargo, tengo una pregunta para la que no pude encontrar una respuesta en ninguna parte: ¿cómo puede un cliente saber que una zona DNS debe estar firmada? Si machineA nunca resolvió el nombre example.com , ¿cómo puede DNSSEC evitar que un atacante intercepte la consulta DNS dejando machineA y respondiendo a esa consulta con una respuesta DNS bien formada que contenga una dirección IP maliciosa, pero parece que vienen del resolutor?
En otras palabras, no puedo entender cómo DNSSEC previene los ataques Man In The Middle. Si el anfitrión nunca resolvió el nombre antes, ¿cómo puede saber que la respuesta debe estar firmada?
Entiendo cómo las DNSSEC pueden proteger contra el envenenamiento de la memoria caché y cómo se garantiza la integridad de los mensajes, pero todo parece desmoronarse si alguien simplemente se sienta entre la máquina del usuario y el resolutor para eliminar la información de dnssec.