正确使用 https 可以降低不使用 DNSSsec 的风险，因为通过验证其证书来检查端点是否是预期的端点。此外，数据传输本身也受到保护。https 本身有几件事可能出错（密码较弱、验证过程中的错误、具有相同权限的受信任的根 CA 太多......）但是如果我们假设所有这些都得到了正确处理（通常不是）https会给你以下保护：

• 您与正确的服务器交谈。
• 浏览器和服务器之间的流量在传输过程中受到保护，不会被嗅探和修改。

这就是你所得到的。

值得注意的是，没有针对由不安全的 Web 应用程序或浏览器中的错误或设计错误引起的攻击的保护措施，即 CSRF、XSS、使用 Flash、Java、Silverlight、ActiveX 的漏洞利用，包括您访问的站点的第 3 方代码（即社交网络、跟踪、广告......）以及当今网络中的所有其他典型攻击。如果您的计算机已经受到恶意软件或某些安全或帮助软件的危害，那么 https 也将无济于事，而这些软件弊大于利。

让我们假设没有 DigiNotar 的东西。

但这就是 DNSSEC 的所有优势所在！例如，在以下两种情况下，没有 DNSSEC 会导致会话受损，但使用 DNSSEC 不会：

劫持解析器

• 为网站签发了欺诈性证书
• ISP 的 DNS 服务器被劫持以指向错误的 IP

缓存中毒

• 为网站签发了欺诈性证书
• 解析器的缓存被恶意 IP 污染