DNSSEC utiliza registros NSEC (o NSEC3) para indicar que el nombre de dominio solicitado no existe. NSEC ha sido criticado porque permite la enumeración de zonas.
¿Qué saltos, si dnssec se implementa sin registros nsec, es decir, qué pasa si no hay autenticación de dominios inexistentes? (Si existe el dominio, la respuesta se autentica, si el dominio no existe, la respuesta no está autenticada)
Según tengo entendido, DANE utiliza NSEC para protegerse contra MITM, pero no entiende exactamente cómo. ¿El atacante no soltaría o corrompería las respuestas NSEC autenticadas?
Podría ser que no haya forma de saber si se suponía que la respuesta DNS debía ser autenticada por DNSSEC o si no (implementada como propuesta) NSEC, posteriormente fue modificada por el atacante a una respuesta DNS no autenticada que apunta al host controlado por el atacante.
¿Lo estoy haciendo bien? ¿Hay otros problemas?