ブラウザーまたはオペレーティングシステムにデフォルトのDNSSEC検証がないのはなぜですか？

ここ から：

DNSSECの短所

• DNSSECはDNSサーバーにかなりの負荷を追加する可能性があり、コストが増加し、現在のDNSシステムの効率が低下します。 TLDレジストリオペレーター、ドメイン名レジストラー、ISP、およびホスティングプロバイダー側​​のリソースに多大な投資が必要です。
• 「ブートストラップの問題」–すべてのユーザーがコストよりも大きなメリットを受ける前に、最小レベルの展開が必要です。
• DNSSECの展開には、サーバー側とクライアント側の両方にソフトウェアが必要です。特に、DNSSECの複雑さが増すと、頻繁にルックアップエラーが発生したり、パフォーマンスが低下したりする場合に、エンドユーザーからDNSSECをサポートするオペレーティングシステムとブラウザーアドオンを利用するにはどうすればよいでしょうか。 、エンドユーザーのインターネットエクスペリエンス全体に悪影響を及ぼしていますか？
• DNSSECは不必要に複雑であり、経験豊富なDNS管理者でも実装するのは面倒です– DNSSECは、本質的に単純なシステムに複雑さを追加します。一部の非DNSSECシステムとの下位互換性がない可能性があり、これも問題を引き起こします。
• DNSSECをサポートするトップレベルドメインはほとんどなく、一部の政府はDNSSECが支援する暗号化キーの配布を禁止しようとする可能性もあります。国はインターネットの米国による制御を懸念しており、一元化されたキーイングを拒否する場合があります。署名付きルートがない場合にDNSSECを導入すると、DNSキャッシュポイズニングや同様の攻撃に対する保護が弱まります。

したがって、ブラウザcouldはデフォルトでDNSSECをサポートしているように見えますが、ブラウザのパフォーマンスが犠牲になります。

DNSSECを取り上げたことで、執筆時点では価値がないようです。存在しないDNSSECルックアップは通常のDNSにフォールバックする必要があり、レイテンシが増加します。

また、ここにはユーザーエクスペリエンスの問題があります-DNSSECを介してドメインが検索されたという事実をブラウザーはどのように伝えますか？多くのユーザーは、この追加のフラグが南京錠と組み合わせてどのように機能するかを理解しません。正しく署名されていないDNSSEC応答をブロックし、そこへの移動を拒否する可能性がありますが、証明書は、正しいサーバーに到達したことを確認するためのものです。 [〜＃〜] hpkp [〜＃〜] を使用すると、不正な認証局によって発行された証明書がないことを確認できます。

編集：これでHPKPは死んでしまいました。これを実現するために、証明書の透明性のようなものに注目します。