4. Services Not Provided by DNS Security (DNS セキュリティが提供しないサービス)

DNS は元々, 誰がクエリを発行したかに関係なく DNS は任意の特定のクエリに対して同じ答えを返すという仮定と, DNS 内のすべてのデータが可視であるという仮定で設計されました。したがって, DNSSEC は機密性 (confidentiality), アクセス制御リスト (access control lists), またはクエリ発行者を区別する他の手段を提供するように設計されていません。

DNSSEC はサービス拒否攻撃 (denial of service attacks) に対する保護を提供しません。セキュリティ認識リゾルバとセキュリティ認識ネームサーバは, 暗号操作に基づく追加クラスのサービス拒否攻撃に対して脆弱です。詳細については第 12 節を参照してください。

DNS セキュリティ拡張は DNS データに対するデータおよび発信元認証を提供します。上記で概説されたメカニズムは, ゾーン転送 (zone transfers) や動的更新 (dynamic update) ([RFC2136], [RFC3007]) などの操作を保護するように設計されていません。[RFC2845] および [RFC2931] で説明されているメッセージ認証スキームは, これらのトランザクションに関連するセキュリティ操作に対処します。