DNSSEC旨在阻止攻擊者篡改DNS回應，它透過對記錄進行簽名，使解析器能夠驗證資料的真實性和完整性。許多安全團隊認為，如果DNSSEC驗證通過，則響應可信賴。但最新的學術研究表明，這種假設值得更深入的審查。

來自 Palo Alto Networks、普渡大學、加州大學歐文分校和德克薩斯大學達拉斯分校的研究人員對 DNSSEC 進行了超越漏洞挖掘的分析。該團隊沒有尋找單一缺陷，而是建立了該協議的數學模型，並提出了一個更深層的問題：DNSSEC 按照目前的編寫和部署方式，在所有情況下是否始終安全？

另一種測試 DNSSEC 的方法

該研究提出了一個名為 DNSSECVerif 的框架，它採用了在密碼協議分析中常用的形式化驗證技術，但這些技術很少如此大規模地應用於 DNSSEC。該模型描述了解析器、權威伺服器和快取之間的互動方式，包括密碼學檢查和並發查詢。

當標準發生衝突時

最重要的發現來自DNSSEC標準的互動方式， DNSSEC支援兩種證明網域不存在的機制：NSEC和NSEC3。許多區域只使用其中一種，但標準並未禁止在同一區域中混合使用這兩種機制。研究人員發現，這種共存會造成身分驗證漏洞， NSEC 依賴有序域名，而 NSEC3 依賴哈希域名。當兩者同時出現時，解析器可能會被欺騙，從而接受一個忽略有效域名的否認聲明。

對生產環境中 DNSSEC 的影響

DNSSEC 的正確性並非非此即彼，如果協議規則本身允許不一致的狀態，那麼驗證通過並不能保證安全性。作者建議完全避免混合部署 NSEC 和 NSEC3，他們認為，標準制定機構應將這種配置視為不安全配置，並要求解析器在遇到這種配置時驗證失敗。他們還建議，形式化驗證應在協議設計的早期階段發揮作用， DNSSEC部署廣泛且難以更改，這使得糾正設計缺陷的成本很高。