DNSSEC被認(rèn)為是增強(qiáng)DNS抵御漏洞的最佳方法

公共利益注冊(cè)中心(Public Interest Registry)今天宣布，它已經(jīng)開(kāi)始使用稱為DNSSEC的DNS安全擴(kuò)展對(duì).org頂級(jí)域進(jìn)行加密簽名。

DNSSEC是一種新興的標(biāo)準(zhǔn)，它通過(guò)讓網(wǎng)站使用數(shù)字簽名和公鑰加密來(lái)驗(yàn)證其域名和相應(yīng)的IP地址，從而防止欺騙攻擊。

DNSSEC被認(rèn)為是增強(qiáng)DNS抵御漏洞的最佳方法，其中包括Kaminsky Bug，Kaminsky Bug是去年夏天發(fā)現(xiàn)的DNS漏洞，允許黑客在用戶不知情的情況下將流量從合法網(wǎng)站重定向到假網(wǎng)站。

“ DNSSEC是必需的基礎(chǔ)架構(gòu)升級(jí)，”公共利益注冊(cè)(PIR)首席執(zhí)行官Alexa Raad說(shuō)。“它已經(jīng)超過(guò)了成為實(shí)踐必要性的理論機(jī)會(huì)的門(mén)檻。問(wèn)題就變成了：我們?nèi)绾问蛊浒l(fā)揮作用?”

.org具有750萬(wàn)個(gè)注冊(cè)名稱，是部署DNSSEC的最大域。

當(dāng)前的DNSSEC用戶包括由瑞典，波多黎各，保加利亞，巴西和捷克共和國(guó)運(yùn)營(yíng)的代碼域。

拉德說(shuō)：“我們簽署該區(qū)是非常重要的一步，但這也是一個(gè)象征性的步驟。” “大型[通用頂級(jí)域名]現(xiàn)在已經(jīng)簽署了他們的區(qū)域。這將向該鏈中的所有其他參與者發(fā)出信號(hào)，該是在軟件和應(yīng)用程序上進(jìn)行認(rèn)真工作以使DNSSEC在不久的將來(lái)可行的時(shí)候了。”

PIR于去年6月宣布了部署DNSSEC的計(jì)劃，并在12月誓言與DNSSEC行業(yè)聯(lián)盟成員分享其經(jīng)驗(yàn)。該聯(lián)盟包括領(lǐng)先的域名注冊(cè)機(jī)構(gòu)，例如VeriSign，NeuStar和Afilias，以及DNS軟件提供商N(yùn)Lnet Labs，Secure64和InfoBlox。

Raad說(shuō)，PIR與DNSSEC分享經(jīng)驗(yàn)非常重要，因?yàn)?ldquo;這不是一個(gè)參與者可以承擔(dān)的任務(wù)。確實(shí)需要一個(gè)村莊，借用一個(gè)短語(yǔ)，才能正確地做到這一點(diǎn)。”

PIR向行業(yè)提出的一項(xiàng)建議是DNSSEC部署使用較新的NSEC3算法，而不是較舊的NSEC，后者較不安全，需要更多處理。

PIR還在促進(jìn)DNSSEC行業(yè)聯(lián)盟制定操作程序，例如如何將域從支持DNSSEC的寄存器轉(zhuǎn)移到不支持DNSSEC的寄存器。

“我們認(rèn)為這是一項(xiàng)巨大的責(zé)任，”拉德說(shuō)。DNSSEC部署“我們要確保審慎和謹(jǐn)慎取代倉(cāng)促”。

PIR將于6月2日宣布它將與NSEC3簽署.org域，并已開(kāi)始與少數(shù)幾個(gè)使用第一個(gè)偽造的域名而不是真實(shí)的.org名稱的注冊(cè)商進(jìn)行DNSSEC測(cè)試。PIR計(jì)劃在接下來(lái)的幾個(gè)月中繼續(xù)擴(kuò)大其測(cè)試范圍，直到注冊(cè)表準(zhǔn)備好為所有.org域名運(yùn)營(yíng)商支持DNSSEC。

Raad表示，她預(yù)計(jì)2010年將在.org域中全面部署DNSSEC。

她說(shuō)：“我預(yù)計(jì)今年不會(huì)是日歷年。” “這是關(guān)于學(xué)習(xí)并與行業(yè)分享我們的學(xué)習(xí)。”

.org域名持有者的喜訊是PIR的DNSSEC測(cè)試和部署不會(huì)影響他們的日常運(yùn)營(yíng)。

“必須指出的是，.org域名持有人不必做任何事情，” Raad說(shuō)。“他們的域名將照常運(yùn)行。”

拉德說(shuō)，企業(yè)網(wǎng)絡(luò)管理人員應(yīng)開(kāi)始詢問(wèn)其ISP，域名注冊(cè)商和DNS供應(yīng)商他們?yōu)橹С諨NSSEC所做的工作。

自從去年夏天發(fā)現(xiàn)Kaminsky錯(cuò)誤以來(lái)，DNSSEC的工作首次設(shè)想是在1995年。

聯(lián)邦政府今年將在其.gov域中部署DNSSEC，并計(jì)劃在2009年底之前簽署所有子域。

VeriSign承諾到2011年在.com和.net上部署DNSSEC。

但是，互聯(lián)網(wǎng)工程界正在等待聯(lián)邦政府在根區(qū)域上部署DNSSEC。

DNSSEC行業(yè)聯(lián)盟將于6月11日至12日在華盛頓舉行座談會(huì)，討論DNSSEC部署問(wèn)題，包括如何最好地簽署根區(qū)域。