Hallo,
wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name überhaupt ganz und gar nicht per DNSSec geschützt ist!
(Konfiguriert ist er als DNSSec-Proxy, würde die Validierung im Zweifelsfall also auch nicht selbst machen - aber das ist eine andere Geschichte.)
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann