История изменений
Исправление Deleted, (текущая версия) :
DNSSEC - это подпись зоны, причем публичная часть ключа находится на NS'ах уровнем выше. Например, зону com обслуживают серверы [a-m].gtld-servers.net. Поэтому, если у тебя домен в этой зоне, и ты хочешь рабочий DNSSEC, то ты генеришь ключ, публичную часть заливаешь на эти серверы (у регистраторов есть API), и приватной подписываешь свои ресурсные записи.
Поэтому, чтобы подделать DNS, тебе нужно угонять адреса всех NS'ов в цепочке, включая корневые. Иначе резолвер, который поддерживает DNSSEC и проходит всю цепочку, будет тебе отдавать SERVFAIL
Если бы угоняли IP, на котором находится конечная цель, т.е. сам сайт, то DNSSEC бы не помог. Но в этом случае угоняли IP NS'ов Амазона.
Исходная версия Deleted, :
DNSSEC - это подпись зоны, причем публичная часть ключа находится на NS'ах уровнем выше. Например, зону com обслуживают серверы [a-m].gtld-servers.net. Поэтому, если у тебя домен в этой зоне, и ты хочешь рабочий DNSSEC, то ты генеришь ключ, публичную часть заливаешь на эти серверы (у регистраторов есть API), и приватной подписываешь свои ресурсные записи.
Поэтому, чтобы подделать DNS, тебе нужно угонять адреса всех NS'ы в цепочке, включая корневые. Иначе резолвер, который поддерживает DNSSEC и проходит всю цепочку, будет тебе отдавать SERVFAIL
Если бы угоняли IP, на котором находится конечная цель, т.е. сам сайт, то DNSSEC бы не помог. Но в этом случае угоняли IP NS'ов Амазона.