DNSSEC被認為是增強DNS抵御漏洞的最佳方法

公共利益注冊中心(Public Interest Registry)今天宣布，它已經(jīng)開始使用稱為DNSSEC的DNS安全擴展對.org頂級域進行加密簽名。

DNSSEC是一種新興的標準，它通過讓網(wǎng)站使用數(shù)字簽名和公鑰加密來驗證其域名和相應的IP地址，從而防止欺騙攻擊。

DNSSEC被認為是增強DNS抵御漏洞的最佳方法，其中包括Kaminsky Bug，Kaminsky Bug是去年夏天發(fā)現(xiàn)的DNS漏洞，允許黑客在用戶不知情的情況下將流量從合法網(wǎng)站重定向到假網(wǎng)站。

“ DNSSEC是必需的基礎架構升級，”公共利益注冊(PIR)首席執(zhí)行官Alexa Raad說。“它已經(jīng)超過了成為實踐必要性的理論機會的門檻。問題就變成了：我們?nèi)绾问蛊浒l(fā)揮作用?”

.org具有750萬個注冊名稱，是部署DNSSEC的最大域。

當前的DNSSEC用戶包括由瑞典，波多黎各，保加利亞，巴西和捷克共和國運營的代碼域。

拉德說：“我們簽署該區(qū)是非常重要的一步，但這也是一個象征性的步驟。” “大型[通用頂級域名]現(xiàn)在已經(jīng)簽署了他們的區(qū)域。這將向該鏈中的所有其他參與者發(fā)出信號，該是在軟件和應用程序上進行認真工作以使DNSSEC在不久的將來可行的時候了。”

PIR于去年6月宣布了部署DNSSEC的計劃，并在12月誓言與DNSSEC行業(yè)聯(lián)盟成員分享其經(jīng)驗。該聯(lián)盟包括領先的域名注冊機構，例如VeriSign，NeuStar和Afilias，以及DNS軟件提供商NLnet Labs，Secure64和InfoBlox。

Raad說，PIR與DNSSEC分享經(jīng)驗非常重要，因為“這不是一個參與者可以承擔的任務。確實需要一個村莊，借用一個短語，才能正確地做到這一點。”

PIR向行業(yè)提出的一項建議是DNSSEC部署使用較新的NSEC3算法，而不是較舊的NSEC，后者較不安全，需要更多處理。

PIR還在促進DNSSEC行業(yè)聯(lián)盟制定操作程序，例如如何將域從支持DNSSEC的寄存器轉(zhuǎn)移到不支持DNSSEC的寄存器。

“我們認為這是一項巨大的責任，”拉德說。DNSSEC部署“我們要確保審慎和謹慎取代倉促”。

PIR將于6月2日宣布它將與NSEC3簽署.org域，并已開始與少數(shù)幾個使用第一個偽造的域名而不是真實的.org名稱的注冊商進行DNSSEC測試。PIR計劃在接下來的幾個月中繼續(xù)擴大其測試范圍，直到注冊表準備好為所有.org域名運營商支持DNSSEC。

Raad表示，她預計2010年將在.org域中全面部署DNSSEC。

她說：“我預計今年不會是日歷年。” “這是關于學習并與行業(yè)分享我們的學習。”

.org域名持有者的喜訊是PIR的DNSSEC測試和部署不會影響他們的日常運營。

“必須指出的是，.org域名持有人不必做任何事情，” Raad說。“他們的域名將照常運行。”

拉德說，企業(yè)網(wǎng)絡管理人員應開始詢問其ISP，域名注冊商和DNS供應商他們?yōu)橹С諨NSSEC所做的工作。

自從去年夏天發(fā)現(xiàn)Kaminsky錯誤以來，DNSSEC的工作首次設想是在1995年。

聯(lián)邦政府今年將在其.gov域中部署DNSSEC，并計劃在2009年底之前簽署所有子域。

VeriSign承諾到2011年在.com和.net上部署DNSSEC。

但是，互聯(lián)網(wǎng)工程界正在等待聯(lián)邦政府在根區(qū)域上部署DNSSEC。

DNSSEC行業(yè)聯(lián)盟將于6月11日至12日在華盛頓舉行座談會，討論DNSSEC部署問題，包括如何最好地簽署根區(qū)域。