Últimamente he estado leyendo sobre DNSSEC y tuve una pregunta acerca de las soluciones de resolución de DNS instaladas en otros lugares de Internet.
Si un cliente está utilizando un DNS-Resolver que no es compatible con DNSSEC, ¿volverá a usar un DNS no seguro? ¿Es esta la norma ahora, o la mayoría de los que realizan la resolución pueden realizar búsquedas de DNSSEC?
Si me inscribo en DNSSec para mi dominio example.com, solo los solucionadores que admitan DNSSec buscarán la firma.
Los solucionadores / clientes sin soporte para DNSSec no buscarán una firma. Esto es equivalente a "retroceder" a no usar DNSSec.
Hay algunas arrugas con la forma en que se implementa DNSSec. Windows 7, por ejemplo, proporciona un "solucionador de código auxiliar de seguridad no validada", lo que significa que, en lugar de mantener la confianza en el Cliente, Windows 7 lo deja en manos de un servidor DNS que admita DNSSec para validar la respuesta que recibe a su consulta DNS . Entonces, ¿qué sucede si está utilizando Windows 7 pero utilizando un servidor DNS que no es compatible con DNSSec?
Puede probar este comportamiento cambiando su servidor dns en la configuración de Windows y luego visitando enlace , que es un dnssec deliberadamente dañado. dominio.
Lo intenté una vez con un servidor no dnssec y otra vez con el DNS de Google, que es compatible con DNSSec. Mi servidor que no es dnssec me permitió acceder al sitio, mientras que el DNS de Google me impedía acceder al sitio. Esto me demostró que, tal como lo pusiste, "retrocederá" al no usar DNSSec.
Lea otras preguntas en las etiquetas dnssec