DNSSEC можно легко подделать?

Я хочу знать назначение DNSSEC, какую проблему он действительно пытается решить? Я думаю, что DNSSEC можно легко подделать, вставив в сеть DNS-сервер, отличный от DNSSEC, который обслуживает копию зоны, отличную от DNSSEC. Но, может быть, DNSSEC пытается решить не эту проблему?

С DNSSEC DNS-серверы используют шифрование с открытым секретным ключом для подписи и проверки зон друг друга. Это может помочь, например, против отравления кеша DNS. Данные добавляются в кеш только после проверки подписи ответа DNS.

Отлично.

Но как клиенты проверяют, что они используют DNS, защищенный DNSSEC? Если вы попытаетесь предотвратить заражение кэша DNS, но не предотвратите вставку DNS-сервера, стоит ли вообще DNSSEC?

У меня есть домен, который полностью защищен DNSSEC согласно https: //dnssec-analyzer.verisignlabs. com / . В DNS моей компании (или Wi-Fi ресторана) я добавил копию этого домена (или «зоны») на сетевой DNS-сервер. Эта локальная зона DNS НЕ использует DNSSEC. Клиенты в сети компании (или Wi-Fi ресторана) получают указание использовать DNS компании от сервера DHCP компании. Теперь, если я изменяю записи в скопированной зоне в DNS компании, клиенты просто следят за этими изменениями без предупреждений и жалоб. Конечные пользователи могут думать, что они в безопасности, потому что они прочитали в документации, что моя зона защищена DNSSEC, но на самом деле они используют поддельную зону в моей корпоративной сети (или Wi-Fi в ресторане), и они вообще не защищены?