7. Security Considerations (Considerazioni sulla sicurezza)
Questo documento descrive come le estensioni di sicurezza DNS utilizzano la crittografia a chiave pubblica per firmare e autenticare gli insiemi di resource record DNS. Si prega di consultare [RFC4033] per la terminologia e le considerazioni generali sulla sicurezza relative a DNSSEC; consultare [RFC4034] per le considerazioni specifiche dei tipi di resource record DNSSEC.
Un attaccante attivo che può impostare il bit CD in un messaggio di query DNS o il bit AD in un messaggio di risposta DNS può utilizzare questi bit per sconfiggere la protezione che DNSSEC tenta di fornire ai resolver in modalità ricorsiva non consapevoli della sicurezza. Per questo motivo, l'uso di questi bit di controllo da parte di un resolver in modalità ricorsiva consapevole della sicurezza richiede un canale sicuro. Vedere le Sezioni 3.2.2 e 4.9 per ulteriori discussioni.
Il protocollo descritto in questo documento tenta di estendere i benefici di DNSSEC ai resolver stub non consapevoli della sicurezza. Tuttavia, poiché il recupero dai fallimenti di convalida è probabilmente specifico per applicazioni particolari, le strutture che DNSSEC fornisce per i resolver stub possono rivelarsi inadeguate. Gli operatori di server dei nomi ricorsivi consapevoli della sicurezza dovranno prestare molta attenzione al comportamento delle applicazioni che utilizzano i loro servizi quando scelgono una politica di convalida locale; non farlo potrebbe facilmente risultare nel server dei nomi ricorsivo che accidentalmente nega il servizio ai client che è destinato a supportare.