DNSSECは意味がないのか

TL;DR

是非はともかく、GAFA ( www.google.com www.amazon.com www.facebook.com www.apple.com ) は有効にしていません。この事実は重く受け止める必要があると思います。

DNSSECで対策できる問題

• キャッシュポイズニング - DNSパケットのIDが総当たりで一致させる範囲の値しか取れないのでパケットを偽装できる
• あれ、これだけだ…
• 他にもDNSSECが対策となる問題があるらしいが検索しても出てこない…

それDNSSECじゃなくてよくね？

• キャッシュポイズニング - ソースポートランダマイゼーションで対策可能、そもそもTCPではシーケンス番号が付くのでこの問題は起きない
• 以上

ソースポートランダマイゼーションにも弱点あるよ？

• 第一フラグメント便乗攻撃 - 攻撃者が無理矢理IPv4パケットをフラグメントさせて、IPレベルで有害なデータをくっつける攻撃
• UDPレイヤーではなくIPレイヤーで行われる攻撃なので、ソースポートランダマイゼーションは無力化できる

それ本当にDNSの欠陥？

• TCPを使えば良い、MSSによりIPフラグメンテーションが起こらないように自動で調整される
• そもそも、IPv6によりこの弱点は克服できる、フラグメントIDが32ビットに拡張されたので総当たりは困難
• IPv6のフラグメントIDが連番などで予測可能なら話は別だが、IPv6の時代になってそんな実装が未だに存在しているのかは不明 ( https://www.jpcert.or.jp/research/IPv6TestManual.pdf )

結論

いらなくね？（DNSSECを導入する必然性が薄い）