跳到主要内容

4. 安全考虑 (Security Considerations)

不遵循第 2 节中 DNSSEC 相关要求的系统, 可能会像任何未对来自远程根服务器的响应执行 DNSSEC 验证的递归解析器一样, 被诱导给出错误响应. 部署本文档所述方法的任何人都应熟悉部署 DNSSEC [RFC4033] 的运行收益和成本.

如第 1 节所述, 本设计明确要求根区信息的本地副本只能由该主机上的解析器访问. 这样做的安全属性是, 如果某个本地解析器试图依赖被篡改的根副本, 损害范围会被限制在该本地解析器的客户端内.