4. Services Not Provided by DNS Security (Nicht von DNS-Sicherheit bereitgestellte Dienste)

DNS wurde ursprünglich mit den Annahmen entworfen, dass DNS dieselbe Antwort auf jede gegebene Abfrage zurückgeben wird, unabhängig davon, wer die Abfrage ausgegeben haben mag, und dass alle Daten im DNS somit sichtbar sind. Dementsprechend ist DNSSEC nicht dafür ausgelegt, Vertraulichkeit, Zugriffskontrolllisten oder andere Mittel zur Unterscheidung zwischen Anfragenden bereitzustellen.

DNSSEC bietet keinen Schutz gegen Denial-of-Service-Angriffe. Sicherheitsbewusste Resolver und sicherheitsbewusste Nameserver sind anfällig für eine zusätzliche Klasse von Denial-of-Service-Angriffen, die auf kryptografischen Operationen basieren. Bitte siehe Abschnitt 12 für Details.

Die DNS-Sicherheitserweiterungen bieten Daten- und Ursprungsauthentifizierung für DNS-Daten. Die oben beschriebenen Mechanismen sind nicht dafür ausgelegt, Operationen wie Zonentransfers und dynamische Updates ([RFC2136], [RFC3007]) zu schützen. Die in [RFC2845] und [RFC2931] beschriebenen Nachrichtenauthentifizierungsschemata behandeln Sicherheitsoperationen, die sich auf diese Transaktionen beziehen.