7. Security Considerations (Considerazioni sulla Sicurezza)

7. Security Considerations (Considerazioni sulla Sicurezza)

Il profilo Strict Privacy per DNS over TLS è obbligatorio per le DNS Push Notifications [RFC8310]. Le connessioni in chiaro per le DNS Push Notifications non sono consentite. Poiché questo è un nuovo protocollo, i meccanismi di transizione dal profilo Opportunistic Privacy non sono necessari.

Inoltre, vedere la sezione 9 del documento Usage Profiles for DNS over (D)TLS [RFC8310] per ulteriori raccomandazioni per varie versioni di utilizzo di TLS.

Come conseguenza del requisito TLS, l'autenticazione e la verifica del certificato client possono anche essere applicate dal server per una maggiore sicurezza client-server o sicurezza end-to-end. Tuttavia, le raccomandazioni per la sicurezza in particolari scenari di distribuzione sono al di fuori dell'ambito di questo documento.

DNSSEC è raccomandato per l'autenticazione dei server DNS Push Notification. TLS da solo non fornisce una sicurezza completa. La verifica del certificato TLS può fornire una ragionevole garanzia che il client stia effettivamente comunicando con il server associato al nome host desiderato, ma poiché il nome host desiderato viene appreso tramite una query DNS SRV, se la query SRV viene sovvertita, il client potrebbe avere una connessione sicura a un server malintenzionato. DNSSEC può fornire ulteriore fiducia che la query SRV non sia stata sovvertita.