RFCがDNSのIPSecのみの実装をサポートしているかどうかはわかりませんが、サポートしている場合、それはDNSSecにとってどのような意味がありますか?
DNSSecはIPv4のみのテクノロジですか?
DNSSECはIPSecとは異なるものを提供し、どちらかまたは両方がニーズを満たす場合があります。 IPSecは、パケットを暗号化して署名し、信頼できるPKI(公開キー基盤)を持っている場合、信頼できるものからのものであることを証明します。しかし、その「IF」は非常に高い注文です。特に、最近信頼されていない外国政府によって管理されるルート証明書の最も一般的な「信頼された」デフォルト証明書ストアに最近存在していることを考えると、.
独自の証明書とネットワーク、および独自のDNSサーバーのみを使用してプライベートVPNが必要な場合は、IPSecが必要な機能を提供する場合があります。ただし、最初にパケットを送信する場所をパブリックネットワークから知りたい場合、つまり、ドメイン名からIPアドレスへの安全なマッピングを介して、それがDNSSECの目的です。
また、それほど遠くない将来(私たちは願っています)、インターネットエンジニアリングタスクフォースのほぼ形成されたKeys In DNS(kidns)ワーキンググループに参加することにも注意してください。 「認証局」の現在のモラス: http://www.spinics.net/lists/ietf-ann/msg57258.html
更新:kidnsワーキンググループの提案は、DANEという名前で採用されました: DNSベースの名前付きエンティティの認証 。 RFC6698 と書きましたが、これは一部のツールやライブラリ、ブラウザ拡張機能で実装されましたが、主流のブラウザ機能にはなりませんでした。
証明書の固定(秒)HTTP Strict Transport Security によって潜在的に支援される代替技術は、根本的な問題を解決しました。
IPv6のDNSセクション ウィキペディアのページには、偽のDNS応答に対する防御についての情報がないため、DNSSecが依然として必要であるように見えます。