4. Services Not Provided by DNS Security (Servizi non forniti dalla sicurezza DNS)

Il DNS è stato originariamente progettato con le ipotesi che il DNS restituirà la stessa risposta a qualsiasi query data indipendentemente da chi possa aver emesso la query, e che tutti i dati nel DNS sono quindi visibili. Di conseguenza, DNSSEC non è progettato per fornire riservatezza, liste di controllo degli accessi o altri mezzi di differenziazione tra i richiedenti.

DNSSEC non fornisce protezione contro gli attacchi denial of service. I resolver consapevoli della sicurezza e i name server consapevoli della sicurezza sono vulnerabili a una classe aggiuntiva di attacchi denial of service basati su operazioni crittografiche. Si prega di consultare la sezione 12 per i dettagli.

Le estensioni di sicurezza DNS forniscono autenticazione dei dati e dell'origine per i dati DNS. I meccanismi descritti sopra non sono progettati per proteggere operazioni come i trasferimenti di zona e l'aggiornamento dinamico ([RFC2136], [RFC3007]). Gli schemi di autenticazione dei messaggi descritti in [RFC2845] e [RFC2931] affrontano le operazioni di sicurezza che riguardano queste transazioni.