Bien, admitiré algo de primera: realmente no entiendo algunos de los aspectos prácticos de cómo funcionan las protecciones de DNSSec (incluso después de leer recursos como this .)
Bueno, ciertamente entiendo por qué anti- spoofing protecciones para Las búsquedas de resolución de nombres a direcciones de DNS son muy necesario . E incluso entiendo (aproximadamente, a un nivel básico) cómo funcionan los mecanismos criptográficos de la cadena de confianza trabajo , desde la raíz del DNS los servidores y los dominios de nivel superior hasta el ISP de nivel más bajo y los servidores de nombres internos / corporativos proporcionan una base para el rol de DNSSec de la prueba criptográfica de que un nombre de dominio dado realmente está vinculado a una o más direcciones IP dadas.
Pero mi entendimiento se vuelve confuso cuando el dispositivo de un usuario final realmente aprovecha las capacidades del sistema DNSSec para verificar que el servidor DNS con el que está tratando el cliente dice la verdad cuando dice que cierto nombre de dominio es legítimamente Se supone que debe resolverse a una determinada dirección IP. Eso, por ejemplo, www.example.com
realmente lo pretenden las personas que lo poseen para indicar 93.184.216.34, y 93.184.216.34 no es solo un servidor sustituto malintencionado y malintencionado que le dice a mi navegador que vaya a un Página web controlada por el atacante en lugar de la original.
De todos modos, mi pregunta real aquí no es del todo "No entiendo completamente cómo funciona DNSSec a nivel de cliente / servidor DNS. Explique eso". Tengo una preocupación más pragmática: ¿Se puede configurar realmente una PC o dispositivo cliente de usuario final para obligarlo a aceptar & usar solo los resultados de búsqueda de DNS que se verifican criptográficamente bajo DNSSec ? Configurar una PC para usar ciertos servidores DNS específicos es bastante fácil, obviamente; ¿Cómo se configura una PC para usar solo los resultados de búsqueda de DNS que la infraestructura DNSSec verifica como legítimos? O puede ser que incluso se haga; ¿hay algo que me esté perdiendo sobre cómo funciona DNSSec a nivel de cliente / servidor DNS que significa que toda mi pregunta está fuera de la base? ¿O está pasando algo más?
(Nota: Supongo que estoy preguntando con la imagen de un entorno de cliente Windows típico en mi cabeza, pero realmente quiero preguntar en un contexto más general de "¿Hay algún tipo de verificación / comprobación en DNSSec que realmente ocurre a nivel del cliente, o es DNSSec una cosa puramente externa donde se espera que un cliente "solo confíe" en la salida final de algún servidor DNS? "Y este último suena muy parecido a que tendría algunos de los mismos problemas que hacen que el sistema DNS heredado sea problemático.)