Názor k článku Doména .CZ spouští jako první automatickou správu DNSSEC klíčů od Filip Jirsák - O podvodném přesměrování ale nebyla řeč. Jde o...

O podvodném přesměrování ale nebyla řeč. Jde o to, že DNSSEC může při odpovídající implementaci zajistit důvěryhodné odpovědi na DNS dotazy – tj. mohu si být jistý, že odpověděl ten, kdo podle registrátora odpovídat má, a že odpověď nebyla cestou změněna. Toho se dá využít třeba pro ověření SSL certifikátů – z DNS si stáhnu důvěryhodný otisk certifikátu a porovnám ho s tím, co my poslal server. Je to bezpečnější řešení, než DV certifikáty, které (bez DNSSEC) spočívají v tom, že se autorita zeptá přes nezabezpečené DNS a všichni doufají, že dostane nezfalšovanou odpověď. Jenže pokud může útočník jen ovládnutím nějakého uzlu síťové infrastruktury ovládnout doménový server a vložit do nadřazené domény svůj klíč, jsme zase tam, kde jsme byli – spoléháme na to, že v síťové infrastruktuře žádný útočník není. Pak ale nepotřebujeme DNSSEC… Jasně, pokud správce domény chce, může používat DNSSEC bezpečným způsobem. Jenže já jako uživatel se nedozvím, zda ta konkrétní odpověď podepsaná DNSSEC je důvěryhodná DNSSEC odpověď, nebo je to jen DNSSEC odpověď naroubovaná na nedůvěryhodné DNS.

Sice to funguje jako taková zvrácená výzva pro ty, kteří ještě DNSSEC na serverech nemají („zaveďte si DNSSEC, jinak to udělá někdo jiný za vás“), ale je to podraz na ty, kteří DNSSEC mají, protože to jejich důvěryhodné DNSSEC sráží na úroveň toho DNSSEC vyčarovaného z ničeho.