Да, само по себе внедрение цифровых подписей на том или ином сервере совершенно не решает проблемы доверия. Именно поэтому DNSSEC содержит в себе море дополнительных механизмов управления доверием. Именно поэтому, к сожалению, о развёртывании DNSSEC в глобальном масштабе интернета ещё нельзя говорить, несмотря на то, что некоторое число доменов первого уровня технологию уже поддерживает. Но обо всём по порядку.

Цифровые подписи дают механизм для создания управляемой иерархии доверия, которую нельзя было бы выстроить средствами классической DNS. Оказывается, открытый ключ, с помощью которого предполагается проверять подписанные адресные данные, также может быть удостоверен кем-то, каким-то другим «нотариусом». Теперь потенциальная жертва хакерской атаки получает возможность проверить не только подпись у данных, но и сам открытый ключ, задействовав третью сторону. Так как, предположим, хакер не может подписать свой поддельный ключ у этой третьей стороны, то и описанная выше атака с подменой пары ключей и подписи не удастся.

Понятно, что ключ удостоверяющего «нотариуса», которого правильнее будет называть удостоверяющим центром, тоже нуждается в проверке. Этот ключ может подписать доверенный центр уровнем выше. И так далее. Здесь естественным для криптографических систем цифровой подписи образом создается цепочка удостоверяющих центров, или иерархия доверия, очень актуальная и для DNSSEC. Потребитель адресной информации сам выбирает, каким центрам он готов доверять, и, используя открытые ключи этих центров, получает возможность проверять достоверность данных, полученных от тех узлов, за благонадёжность которых поручились удостоверяющие центры.

На практике оказывается, что иерархия удостоверяющих центров завязана на так называемый корневой центр, обладающий корневой парой ключей. С их помощью подписаны ключи центров уровнем ниже, что позволяет заинтересованному лицу все эти ключи проверить. Корневой ключ крайне важен, и не только технологически, но и политически. Особенно это важно, если речь идёт о DNSSEC.

DNSSEC позволяет довольно гибко подойти к вопросам построения цепочек доверия. Именно эта особенность технологии позволяет вводить DNSSEC в отдельных сегментах адресного пространства интернета или даже в отдельных локальных компьютерных сетях.

А вот с глобальным масштабом возникает проблема. Дело тут вот в чём. Важнейшая задача, решаемая с помощью DNSSEC, вовсе не является чисто технологической, напротив, это скорее административная задача. Состоит эта задача в том, чтобы гарантировать, что каждый участник DNS в ответ на свой запрос получает из системы именно те данные, которые туда поместил администратор, юридически ответственный за тему запроса. Спросили про site.test.ru - получите ответ, подготовленный на основе данных администратора, уполномоченного отвечать за .test.ru. Возможно, для доменов ниже третьего уровня такая строгость не всегда важна. Но для второго и первого однозначно требуется строгий административный подход к распределению полномочий по управлению адресацией.

А раз так, то к ситуации хорошо подходит единственный способ построения иерархии доверия, иерархии удостоверяющих центров: такая иерархия должна строиться на основе уже существующей формально-юридической системы делегирования прав администрирования доменов в интернете с привязкой к официальному дереву доменов.