MoinQ:

DNSSEC/delegation/偽委譲について、ここに記述してください。

1. 偽委譲の可能性

https://twitter.com/#!/OrangeMorishita/status/83460974589382656

委任情報を捏造して、
  * DNSSECありの委任をなしの委任であるとだましたり、
  * DNSSECありのゾーンに対し、本来存在しないDNSSECなしのうその委任(子ゾーン)をでっちあげたりできれば、
プロトコル上の欠陥があるといえる、と思います。

前者はDSレコードの存在、非存在が上位サーバによって保証されるはずなので、なさそうです。

後者についてはあり得ないことだと証明する必要があると考えます。 いろいろなケースをよく吟味することにより、欠陥が見つかるかもしれません。 -- ToshinoriMaeno 2011-06-28 14:18:55

DNSSEC/キャッシュサーバ 実装が問題だが、...

2. 背景

http://cr.yp.to/djbdns/forgery.html

Attackers are estimated to control more than 10% of the computers on the Internet.
If a computer on your network has been compromised by an attacker anywhere in the world
then the attacker can trivially steal your mail by forging DNS packets.
Client-side patches can stop blind attacks, but attacks from nearby computers are not blind.
These patches are an extremely poor substitute for proper cryptographic protection.