No. DNSSEC no protege la integridad de un nombre DNS si el registrador para ese nombre es malicioso (o está comprometido). El registrador para grumpyavians.com
es la fuente última de autoridad para quién posee grumpyavians.com
(y, por ejemplo, cuál es la clave pública para grumpyavians.com
). En consecuencia, si el registrador es malicioso o está comprometido, entonces el registrador puede transferir el control o subvertir la seguridad.
Dicho esto, creo que la situación no es tan mala como temía (no es el caso de que cualquier registrador en cualquier lugar pueda comprometer cada nombre de DNS existente). Por ejemplo, que yo sepa, algún registrador aleatorio no puede tomar el control de cada nombre de dominio bajo .com
.
Esta es mi comprensión de cómo funciona. Hoy, Verisign administra .com
. Eso significa que Verisign controla totalmente .com
, y tiene las claves de firma DNSSEC que le permiten crear registros arbitrarios para los nombres de foo.com
. Hay una larga lista de registradores de dominio, todos los cuales pueden registrar nombres de dominio bajo .com
. La forma en que funciona es que el registrador interactúa con Verisign para solicitar que se le asigne algún nombre (por ejemplo, grumpyavians.com
); Verisign confirma que nadie ya posee grumpyavians.com
, luego lo asigna al registrador y mantiene un registro de esta asignación. La transferencia de dominios entre registradores ocurre de manera similar.
Supongamos que posee un nombre de dominio valioso en .com
(por ejemplo, hungryfelines.com
). ¿A quién son vulnerables sus registros DNSSEC? Son vulnerables a Verisign y a su registrador. No creo que seas vulnerable a ningún otro registrador, asumiendo que el proceso de transferencia de dominio está asegurado adecuadamente. Advertencia: el proceso de transferencia de dominio está más allá del alcance de DNSSEC, pero es un importante punto potencial de vulnerabilidad en la práctica.