7. Security Considerations (Considérations de sécurité)
Ce document décrit comment les extensions de sécurité DNS utilisent la cryptographie à clé publique pour signer et authentifier les ensembles de ressources DNS. Veuillez consulter [RFC4033] pour la terminologie et les considérations générales de sécurité liées à DNSSEC ; consultez [RFC4034] pour les considérations spécifiques aux types de ressources DNSSEC.
Un attaquant actif qui peut définir le bit CD dans un message de requête DNS ou le bit AD dans un message de réponse DNS peut utiliser ces bits pour défaire la protection que DNSSEC tente de fournir aux résolveurs en mode récursif non sensibles à la sécurité. Pour cette raison, l'utilisation de ces bits de contrôle par un résolveur en mode récursif sensible à la sécurité nécessite un canal sécurisé. Voir les Sections 3.2.2 et 4.9 pour une discussion plus approfondie.
Le protocole décrit dans ce document tente d'étendre les avantages de DNSSEC aux résolveurs stub non sensibles à la sécurité. Cependant, comme la récupération des échecs de validation est susceptible d'être spécifique à des applications particulières, les facilités que DNSSEC fournit pour les résolveurs stub peuvent s'avérer inadéquates. Les opérateurs de serveurs de noms récursifs sensibles à la sécurité devront porter une attention particulière au comportement des applications qui utilisent leurs services lors du choix d'une politique de validation locale ; ne pas le faire pourrait facilement entraîner le refus accidentel de service par le serveur de noms récursif aux clients qu'il est destiné à prendre en charge.