威瑞信报告没有严重的问题与DNS安全扩展(DNSSEC)的互联网根服务器上正在进行的部署和顶级域服务器上,它工作,包括系统提供动力的流行的.com和.net域名。
马特·拉森,威瑞信DNS研究的副总裁表示,该注册机构运营商与它的DNSSEC的部署时间表,一个新兴的互联网标准通过允许网站,以验证其域名和使用数字签名和公共密钥加密对应的IP地址,防止欺骗攻击。
DNSSEC是在DNS层次结构的顶部被部署在互联网基础设施,从根服务器运行的服务器的.com和.net等顶级域名,然后下到服务器的缓存内容个别网站。
一旦它被广泛部署,DNSSEC将阻止缓存中毒攻击,其中流量从合法网站重定向到一个假的没有网站经营者或用户不知道。缓存中毒攻击是由安全研究人员披露了在DNS中的一个严重缺陷的结果卡明斯基在2008年。
“根服务器,可以支持DNSSEC的计划日期是7月1日,我们还在与日出发,”拉森说。“我们已经开始铺开签名根的两个13个根服务器中,而那些部署进展顺利。我们没有从我们的测量和分析,有与该日期有问题的任何迹象......一切是很好的出发与根服务器,并且也是如此与.com,.net和埃杜“。
拉尔森说,威瑞信将支持DNSSEC在第二季度使用的美国高校.edu域中,并在第四季度使用的运营商和服务提供商的.net域名。
.com域 - 有超过80万个的注册名称在互联网上最流行的顶级域名 - 将支持DNSSEC在2011年第一季度,威瑞信说。
这威瑞信已运行到其DNSSEC部署唯一的困难是,一些传统的硬件和软件,如防火墙和负载均衡器不能处理与DNSSEC发送的数据包。
“支持dnssec的流量与我们过去拥有的DNS流量略有不同。根据传闻,有些设备存在这样的问题,”Larson说,他指出一些网络设备的默认配置将DNS数据包限制在512字节,而DNSSEC数据包可以达到4KB。
为了帮助互联网行业为DNSSEC准备,威瑞信揭开了杜勒斯,弗吉尼亚州,互操作性实验室,在网络硬件和软件供应商可以测试自己的产品,以确保他们支持DNSSEC。思科和瞻博网络是一直在测试其产品在威瑞信实验室的供应商之间。
“我们不是认证设备,而我们没有做性能测试,”拉森说。“我们的互操作性实验室是谁愿意看到自己的装备将如何在DNSSEC环境车费任何一项免费服务,我们将执行我们的测试电池,这是由他们来决定该怎么做。”
VeriSign公司表示,它拉开了互操作性实验室,因为它试图推动DNSSEC。
“我们在签署根区投资,并签署.com和.net,但这样做,仅仅是不够的DNSSEC部署,”拉森说。“[之间的互操作性实验室]的想法是突出问题,使每个人都在互联网上了解到,DNSSEC来了。”
势头已经建设DNSSEC因为卡明斯基的错误被发现。
其他正在部署或已经部署DNSSEC的顶级域名包括美国联邦政府的。gov域名,公共利益登记处的非营利组织的。org域名,以及瑞典、波多黎各、保加利亚和巴西运营的国家代码顶级域名。
在其他DNSSEC的消息,康卡斯特公司是第一个美国运营商公布的它的DNSSEC签名和解析服务的公开审判
了解更多关于这个话题
Afilias公司,NeuStar公司采用DNSSEC验证技术
安全研究人员卡明斯基推动DNS补丁