Su registrador tiene derecho a administrar una subzona del espacio de nombres DNS. Para los ccTLD (dominio de nivel superior de código de país, por ejemplo .us) este es principalmente uno, para gTLDS (TLD globales como .com) hay múltiples.
Si le dice a su registrador su propio DNS, el registrador definirá una nueva subzona para el dominio y delegará la resolución del DNS. Cada vez que se actualiza la información en el DNS, sondea el DNS que se encuentra por encima de él y que la información ha cambiado. Este será principalmente el DNS del registrador. El registrador a su vez reenviará esta información a los diferentes DNS raíz.
Ahora a tus preguntas:
- ¿Qué tan seguro es este proceso?
Este proceso no es muy seguro, ya que el sistema no fue diseñado teniendo en cuenta la seguridad. Básicamente, confía en que cualquier información que se proporcione sea correcta. Entonces, si un registrador deshonesto quiere hacerse cargo de un dominio, solo tiene que asegurarse de que los servidores raíz tengan la información falsa y no la correcta. Esta información puede ser fácilmente falsificada. Normalmente, un registrador debe verificar esto y solo actualizar los registros para su propia subzona.
Peor aún son las respuestas, ya que, cuando el servidor raíz recibe información, cada DNS acepta cada respuesta que recibe. Lo que significa que no es tan difícil redirigir, por ejemplo, Google a una IP falsa. Esta es la razón por la cual se inventó DNSSEC, por lo que las respuestas pueden ser firmadas criptográficamente.
- ¿Puede un registrador actualizar la raíz de mi servidor de nombres?
¿Quiere decir que cualquier registrador puede pretender ser el servidor maestro de su DNS? Cada DNS debería poder sondear datos de su DNS, pero eso no debería ser un problema (menos la falsificación mencionada anteriormente).
- ¿Qué disposiciones de seguridad existen?
Confía, si puedes llamar a eso una disposición de seguridad. :) Si no cree en la confianza, la implementación de DNSSEC está actualmente en curso. No resuelve todos los problemas que tiene el DNS, pero al menos algunos. Principalmente, permite que las respuestas de DNS se firmen, por lo que ya no es tan fácil falsificar la IP correspondiente. Por lo que yo sé, todavía es posible envenenar el caché de los DNS individuales.