是的,是的。
DNSSEC是向轻量级 DNS 基础设施协议添加安全标准的首次成功尝试。DNS 必须保持轻量级,以便 Internet 基础设施高效运行并快速为用户提供请求。DNSSEC 是向后兼容的,并且保持足够轻量级以使 DNS 高效。
DNSSEC 可由 DNS 服务器在客户端计算机不知情或不参与的情况下执行。DNSSEC 感知这个术语有点多余,因为 DNSSEC 是向后兼容的。执行 DNSSEC 验证的 DNS 服务器将为 DNS 查询提供可信响应。具体来说,DNSSEC 标准意味着在 DNS 服务器发送响应时,DNS 服务器必须有加密证据证明响应是正确且可信的,否则 DNS 服务器什么也不发送。
手头的主要问题是 DNSSEC 没有在 DNS 服务器上完全实现。有些服务器实现了它,有些则没有。如果客户端配置为要求 DNS 服务器进行 DNSSEC 验证,那么您提到的 AD 标志是多余的,特别是因为 DNSSEC 服务器不应向客户端发送不受信任的信息。Windows 计算机可以配置为仅依赖经过身份验证的 DNS 响应,这就是微软在讨论“非验证 DNSSEC 感知计算机”时的意思。有关详细信息,请参阅他们的讨论。
正如您所观察到的,由于 DNS 服务器正在执行身份验证,而客户端没有,因此可能会在服务器和客户端之间插入攻击。此类攻击可能包括中毒客户端的本地 DNS 缓存和欺骗服务器响应。从安全的角度来看,人们会希望客户端验证 DNS 响应。但是,创建这样一个系统可能存在实施和效率障碍。