DNSSEC es un conjunto de extensiones de seguridad para mejorar la seguridad de DNS. (por ejemplo, evitar el envenenamiento de caché)
Sin embargo, me preguntaba ¿cómo sabe la resolución que el próximo NS usará DNSSEC?
Por ejemplo: alguien quiere resolver www.example.com.
.
Supongamos que el NS example.com.
autorizado tiene DNSSEC habilitado y configurado correctamente.
El resolutor primero se pondrá en contacto con los servidores raíz .
, luego con los servidores de TLD com.
y finalmente con el autoritativo example.com.
. Sin embargo, como el solucionador envía una consulta de DNS a ese último NS, no sabe si DNSSEC está habilitado.
Esto significa que un atacante puede falsificar un paquete DNS y hacer su trabajo de envenenamiento ...
Sé que estoy equivocado, la resolución debe ser consciente de que el próximo NS utiliza DNSSEC. ¡Pero no entiendo cómo !?