有些人想知道DNSSEC如何影响全球审查,我想知道DNSSEC是否可以保护一个区域免受祖父母区域的部分修改。 (这个问题的关键不是build议ICANN或其成员不被信任,而是要弄清楚DNSSEC如何影响他们理论上可以行使的权力。)
例如:
现在,假设DENIC不从他们的区域移除example.de,他们是否有可能通过从abc.example.de的.de服务器返回签名logging来redirect子域abc.example.de。
同样,DNS根可以轻松地返回第三级域xy.z的签名假logging,而第二级域z不参与此操作,否则不会受到影响?
你的父母总是有能力搞乱你的区域。 不幸的是你需要相信他们。
从技术上讲,.de会签署一个DSlogging,该logging是用于签署example.de的DNSKEY的散列值。 如果.de做正确的事情,并指向正确的example.de键,那么他们不能混淆数据。 问题是.de也可以指向他们自己的组合键和他们自己的名字服务器example.de,从而“接pipe”。 他们甚至可以查询你自己的example.de服务器来镜像所有的数据,但是他们想要改变的数据。
所以…是的,.de可以接pipeexample.de, 除非你已经说服客户使用example.de的DNSKEY本身作为信任锚, 否则没有太多的事情要做。 我怀疑有些企业环境可能会这样做(相信他们的公司是关键的,所以他们不需要上游稳定)。 但通常没有人会这样做,因为它不能维持一堆信任锚。
至于你的祖父母(在你的例子中是根),为了让他们与孙子混淆,他们必须接pipe父母,并为他们发布新的钥匙。 所以,根本就是一样的强大,可以接pipe它下面的一切,但是他们必须接pipe所有的子孙,而不仅仅是孙子或孙子女。