Sí, y sí.
DNSSEC es el primer intento exitoso de agregar un estándar de seguridad al protocolo de infraestructura de DNS ligero. El DNS debe permanecer ligero para que la infraestructura de Internet funcione de manera eficiente y sirva rápidamente las solicitudes a los usuarios. DNSSEC es compatible con versiones anteriores y es lo suficientemente ligero como para que DNS sea eficiente.
DNSSEC puede ser realizado por los servidores DNS sin el conocimiento o participación de las computadoras cliente. El término que reconoce a DNSSEC es un poco redundante, ya que DNSSEC es compatible con versiones anteriores. Un servidor DNS que realice la validación de DNSSEC entregará respuestas confiables a las consultas de DNS. Específicamente, el estándar DNSSEC significa que en el momento en que el servidor DNS envía la respuesta, el servidor DNS debe tener evidencia criptográfica de que la respuesta es correcta y confiable, de lo contrario, el servidor DNS no envía nada.
El principal problema que nos ocupa es que DNSSEC no está completamente implementado en los servidores DNS. Algunos servidores lo implementan, otros no. Si un cliente está configurado para requerir que los servidores DNS realicen la validación de DNSSEC, entonces el indicador de AD que menciona es redundante, especialmente porque un servidor de DNSSEC no debe enviar información no confiable a los clientes. Las computadoras Windows se pueden configurar para que solo se basen en respuestas de DNS autenticadas, y esto es lo que quiere decir Microsoft cuando hablan de "computadoras que no tienen validación de DNSSEC". Consulte su discusión , para obtener más información.
Como puede observar, como el servidor DNS está realizando la autenticación y el cliente no, es posible que se inserten ataques entre el servidor y el cliente. Dichos ataques podrían incluir el envenenamiento de la caché de DNS local del cliente y la suplantación de las respuestas del servidor. Desde un punto de vista de seguridad, uno desearía que el cliente validara la respuesta del DNS. Sin embargo, es probable que haya obstáculos de implementación y eficiencia para crear dicho sistema.