Teóricamente, el envenenamiento de la caché de DNS no debería importar, porque todo lo importante está protegido por SSL e IPsec.
- Entonces, ¿por qué se desarrolló DNSSec?
- ¿No son suficientes los dos primeros protocolos?
SSL y TLS proporcionan seguridad de transporte, pero después de la resolución de DNS. Por lo tanto, si el caché de DNS se ha envenenado, la conexión irá al servidor incorrecto.
Pero después de que se haya realizado la conexión y la TTL del DNS es ie. un día y luego tiene lugar el envenenamiento de dns, esto ya no tiene efecto, porque el cliente no realizará la resolución de dns (porque ya sabe dónde conectarse ...).
Las dos tecnologías están diseñadas para diferentes aplicaciones.
IPsec no se usa tradicionalmente en Internet, sino en redes locales. También requiere una infraestructura de red que admita IPsec, lo cual no es común en los enrutadores SOHO y otros equipos no empresariales.
DNSSEC funciona a través de Internet y está diseñado para proporcionar una forma de PKI para DNS. No proporciona seguridad de transporte, pero ayuda a evitar el secuestro de DNS.