En realidad, no está claro si DNSSEC es "lo que queremos".
En este momento, la certificación del sitio web, es decir, cómo un navegador web se asegura de que se comunica con el sitio correcto (al realizar HTTPS) se realiza con certificados digitales emitidos por aproximadamente un centenar de Autoridades de Certificación Root. La CA raíz son entidades que decidieron entrar en el negocio de la emisión de certificados, y lo que hace que el centenar sea tan especial es que hicieron un trato con Microsoft / Apple / Mozilla / Google para incluir su clave pública en la "confianza". "Tienda de cada navegador (o sistema operativo). El acuerdo incluye muchos artilugios y seguros legalistas.
Aunque a menudo es criticado por su opacidad, el costo público de los certificados individuales y algunos errores bien publicitados (consulta "Comodo" y "DigiNotar"), el sistema PKI tiende a funcionar, en un sentido económico: los sitios comerciales los utilizan , y las AC son muy raramente atacadas (la mayoría de los ataques son para inducir al usuario crédulo a ignorar las advertencias de miedo que emite el navegador cuando encuentra algo sospechoso con los certificados, en lugar de preocuparse por subvertir una CA existente). Entonces hay relativamente pocos incentivos para cambiar las cosas (es decir, hay mucha gente que preferiría otro sistema por una variedad de razones, pero, en última instancia, estas cosas las deciden quienes las pagan).
DNSSEC se trata de eliminar a estos CA raíz, y en su lugar, otorgar el poder de certificación a las personas que mantienen El DNS (la asignación de nombres de servidor a direcciones IP), de tal manera que las dos estructuras se unirían entre sí: la herencia del nombre de dominio (con la noción de "subdominio") se fusionaría con la herencia PKI (con la noción de "CA intermedia").
No está claro si los nuevos inquilinos serían más competentes en el negocio de CA que el anterior; como dije, el sistema real ya funciona bastante bien, y la certificación no es lo mismo que asignar nombres a direcciones. Tampoco está claro si tal concentración de poderes es realmente algo bueno. Para los grandes jugadores, no cambiaría nada: Verisign-the-CA y Verisign-the-registrar son Verisign.
En el aspecto técnico, DNSSEC ofrece una fácil distribución de certificados (también conocidos como "enlaces firmados de identidades a claves públicas") a través del sistema DNS, pero ese no es un problema que deba resolverse: en este momento, cualquier SSL / El servidor TLS con mucho gusto envía su cadena de certificados como parte del protocolo inicial, y funciona bien.
Por lo tanto, dadas las incertidumbres sobre la bondad de DNSSEC y la falta de problemas flagrantes con la PKI existente, no es de extrañar que las grandes empresas consideren que el despliegue no es urgente. Hagamos que IPv6 funcione primero.
Como lo indican los comentarios a continuación, DNSSEC tiene algún valor en sí mismo para autenticar la información de DNS, que bloquea el envenenamiento de DNS. El envenenamiento de DNS es la forma fácil de hacer un ataque Man-in-the-Middle , pero sería erróneo creer que esto resuelve los problemas de MiTM; simplemente dificulta un poco las cosas para el atacante (por ejemplo, el atacante debe usar una WiFI-pineapple en lugar de simplemente abusar un agujero en un punto de acceso WiFi existente). Obtener garantías sobre la asignación de un nombre a una dirección IP determinada no lo llevará lejos si no puede saber si un paquete dado realmente proviene de la dirección IP que está escrita en su encabezado.
De cualquier manera, no proporciona mucho valor agregado a los servidores grandes , y eso es suficiente para explicar su renuencia.
(DNSSEC tiene un valor de militar : al prevenir el envenenamiento de DNS, ayuda a defenderse contra los ataques de denegación de servicio importantes que podrían ser parte de alguna guerra electrónica global. Espero que DNSSEC sea apoyados por gobiernos, no por grandes empresas, pero los días o ARPANET se han ido hace mucho tiempo, e Internet es el territorio de las empresas privadas en la actualidad.)