EG> А чем гарантировано отсутствие подмены трафика по пути от iana.org к EG> тебе?
Если в твою модель угроз входит подмена сайта iana.org, я кажется знаю как это можно обнаружить. Можно попросить своих знакомых с нескольких концов мира зайти на iana.org, скачать ключ и сравнить результат. А ещё по-моему можно скачать Root KSK с разных корневых серверов и опять же сравнить. Если обнаружится, что результат разный - значит против тебя атака через DNSSEC.
Но моя паранойя до такого не доходит. Это же вообще философский вопрос о первоначальной точке доверия. Мой способ тоже не панацея в том смысле, что вдруг и тех твоих друзей в нескольких концах мира подменят люди в чёрном... Где-то надо остановиться, я думаю ты понимаешь о чём я.
Это так же как в суде, заключению экспертов почему-то принято доверять, но эксперт может ведь обмануть, что тогда делать?
VS>> С другой стороны, если мой компьютер безоговорочно доверяет VS>> провайдерскому DNS-серверу и сам не делает dnssec validation, то VS>> провайдер сделает со мной что хочет.
EG> А если провайдер редиректит запросы на свои DNS-сервера принудительно EG> и по сути делает прозрачное проксирование DNS, а "твой компьютер" EG> делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься EG> без интернета.
Да, это один из недостатков DNSSEC, и об этих недостатках не раз писали: полученный в результате описанной тобой атаки SERVFAIL никаким толковым образом не передаётся на уровень приложения (в отличие от HTTPS, где браузер может осмысленно отреагировать именно на недействительный сертификат), соответственно пользователь видит только "неработающий интернет".
EG> Я с таким у клиентов уже сталкивался два раза EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой EG> запрос к серверу whoami.ultradns.net:
