4. Considerazioni sulla sicurezza

Un sistema che non segue i requisiti relativi a DNSSEC indicati nella Sezione 2 può essere ingannato nel fornire risposte errate allo stesso modo di qualsiasi server ricorsivo che non esegue la convalida DNSSEC sulle risposte da un server radice remoto. Chiunque implementi il metodo descritto in questo documento dovrebbe avere familiarità con i vantaggi operativi e i costi dell'implementazione di DNSSEC [RFC4033].

Come indicato nella Sezione 1, questo design richiede esplicitamente che la copia locale delle informazioni della zona radice sia disponibile solo dai resolver su quell'host. Ciò ha la proprietà di sicurezza di limitare i danni ai client di qualsiasi resolver locale che potrebbe tentare di fare affidamento su una copia alterata della radice.