4. Services non fournis par la sécurité DNS

Le DNS a été conçu à l'origine avec les hypothèses que le DNS retournera la même réponse à toute requête donnée, quel que soit celui qui a émis la requête, et que toutes les données dans le DNS sont donc visibles. En conséquence, DNSSEC n'est pas conçu pour fournir la confidentialité, des listes de contrôle d'accès ou d'autres moyens de différencier les demandeurs.

DNSSEC ne fournit aucune protection contre les attaques par déni de service. Les résolveurs conscients de la sécurité et les serveurs de noms conscients de la sécurité sont vulnérables à une classe supplémentaire d'attaques par déni de service basées sur des opérations cryptographiques. Veuillez consulter la section 12 pour plus de détails.

Les extensions de sécurité DNS fournissent l'authentification des données et de l'origine pour les données DNS. Les mécanismes décrits ci-dessus ne sont pas conçus pour protéger des opérations telles que les transferts de zone et la mise à jour dynamique ([RFC2136], [RFC3007]). Les schémas d'authentification de message décrits dans [RFC2845] et [RFC2931] traitent des opérations de sécurité qui se rapportent à ces transactions.