Nunca he entendido lo que sucede tras bambalinas cuando voy a mi registrador y escribo la información de mi servidor de nombres.
¿Alguien puede explicar qué sucede cuando se realiza una actualización y cómo se aplica de manera consistente al resultado de Whois?
Su registrador tiene derecho a administrar una subzona del espacio de nombres DNS. Para los ccTLD (dominio de nivel superior de código de país, por ejemplo .us) este es principalmente uno, para gTLDS (TLD globales como .com) hay múltiples.
Si le dice a su registrador su propio DNS, el registrador definirá una nueva subzona para el dominio y delegará la resolución del DNS. Cada vez que se actualiza la información en el DNS, sondea el DNS que se encuentra por encima de él y que la información ha cambiado. Este será principalmente el DNS del registrador. El registrador a su vez reenviará esta información a los diferentes DNS raíz.
Ahora a tus preguntas:
Este proceso no es muy seguro, ya que el sistema no fue diseñado teniendo en cuenta la seguridad. Básicamente, confía en que cualquier información que se proporcione sea correcta. Entonces, si un registrador deshonesto quiere hacerse cargo de un dominio, solo tiene que asegurarse de que los servidores raíz tengan la información falsa y no la correcta. Esta información puede ser fácilmente falsificada. Normalmente, un registrador debe verificar esto y solo actualizar los registros para su propia subzona.
Peor aún son las respuestas, ya que, cuando el servidor raíz recibe información, cada DNS acepta cada respuesta que recibe. Lo que significa que no es tan difícil redirigir, por ejemplo, Google a una IP falsa. Esta es la razón por la cual se inventó DNSSEC, por lo que las respuestas pueden ser firmadas criptográficamente.
¿Quiere decir que cualquier registrador puede pretender ser el servidor maestro de su DNS? Cada DNS debería poder sondear datos de su DNS, pero eso no debería ser un problema (menos la falsificación mencionada anteriormente).
Confía, si puedes llamar a eso una disposición de seguridad. :) Si no cree en la confianza, la implementación de DNSSEC está actualmente en curso. No resuelve todos los problemas que tiene el DNS, pero al menos algunos. Principalmente, permite que las respuestas de DNS se firmen, por lo que ya no es tan fácil falsificar la IP correspondiente. Por lo que yo sé, todavía es posible envenenar el caché de los DNS individuales.
Depende del registrador. Cada uno ofrece una API personalizada, y la documentación de la misma suele estar detrás de una página de inicio de sesión para revendedores.
Así que realmente la respuesta a qué tan seguro es y qué disposiciones están en su lugar es "Depende". Sin embargo, solo el registrador que controla el dominio puede actualizar los servidores de nombres raíz.