公共利益注册中心将于6月在org域名上增加一层名为“DNS安全扩展”(DNSSEC)的额外安全层,此举将保护数百万非营利组织及其捐赠者免受黑客攻击,即“缓存中毒”。
在高速缓存中毒攻击中,流量被从一个合法的网站重定向到一个虚假的网站,而网站操作员或最终用户并不知道。缓存中毒攻击是由安全研究人员披露的DNS的一个严重缺陷造成的丹Kaminsky在2008年。
DNSSEC通过允许网站使用数字签名和公开密钥加密来验证其域名和相应的IP地址,是否有一种正在出现的互联网标准可以防止缓存中毒攻击
公共利益登记处周四宣布,它将为一、二级org域名提供DNSSEC支持。org域名拥有近800万个注册域名,是互联网上部署DNSSEC的最大通用顶级域名之一。
公共利益登记处的首席执行官Alexa Raad说:“当我们去年第一次宣布签署我们的区域时,我们表明了DNSSEC并不是一个乌托邦式的愿景,而是互联网未来所需要的。”“一切都运行在DNS上。如果你认为会有越来越多的应用运行在DNS上,那么你就必须考虑DNS安全。”
Raad希望org网站的运营商能够快速部署DNSSEC。
Raad说:“有信用合作社在使用。org,也有非营利组织在募集资金,并且已经成为攻击的目标,其中一些是相当公开的。”DNSSEC“将允许我们需要安全的客户拥有它。”
公共利益注册中心及其后端服务提供商Afilias一直是自去年夏天开始测试DNSSEC。他们正与10家注册商合作签署DNS查询。几个高调的网站包括www.ietf.org由互联网工程任务组和www.isoc.org作为正在进行中的域名DNSSEC试验的一部分,互联网协会正在签署他们的域名。
Afilias战略合作与技术标准主管吉姆•加尔文(Jim Galvin)表示:“没有出现任何重大问题。”“测试已经为我们完成了它应该做的事情。在部署DNSSEC方面,我们一直在与各方接触,并确保它为更广泛的社区做好准备。”
DNSSEC被部署在整个互联网基础设施中,从DNS层次结构顶端的根服务器,到运行.org和其他顶级域名的服务器,再到缓存各个网站内容的服务器。DNSSEC要想保护单个网站,所有这些部分都必须到位。
org部署DNSSEC的时间是理想的,因为互联网的根区域将在7月1日签署。
其他正在部署或已经部署DNSSEC的顶级域名包括美国联邦政府的。gov域名和瑞典、波多黎各、保加利亚和巴西运营的国家代码顶级域名。
VeriSign说它将在2010年第二季度支持。edu域名的DNSSEC, 2010年第四季度支持。net域名,2011年第一季度支持。com域名。
在相关的新闻,康卡斯特公司是首家宣布公开试用其DNSSEC签名和解决方案服务的美国运营商。
“所有这些DNSSEC的公告都是一个接一个的,”拉德说。“关键在于,如果你的客户在寻找安全的应用程序,如果你的客户想确保自己不被身份盗窃,那么你就必须开始计划支持DNSSEC,而且你有足够的准备时间来做这件事。”
Galvin说cio们需要意识到现在就是部署DNSSEC的时候了。
“转折点就在这里,”加尔文说。“随着网络运营商和产品一起发展,服务提供商逐步为企业和个人提供管理服务,我认为,如果你现在不计划DNSSEC,你就落后了。”