星期三,互联网政策制定者在北维吉尼亚州举办了一个仪式,生成并存储首个加密密钥,用于保护互联网的根区域,使互联网域名系统安全的梦想向现实又迈进了一步。
星期三,互联网政策制定者在北维吉尼亚州举办了一个仪式,生成并存储首个加密密钥,用于保护互联网的根区域,使互联网域名系统安全的梦想向现实又迈进了一步。
这个重要的仪式是在因特网上部署DNS安全扩展(DNSSEC)的最后步骤之一根区。DNSSEC是一种新兴的互联网标准,它允许网站使用数字签名和公钥加密来验证自己的域名和相应的IP地址,从而防止欺骗攻击。
“密钥仪式将生成主根密钥,这是签署所有其他密钥的密钥,”VeriSign的首席技术官肯•席尔瓦(Ken Silva)解释说,该公司运营着两个互联网密钥13根服务器以及支持。com和。net顶级域名的后端系统。“这是在真正推出DNSSEC的一个月前完成的,这样我们就有了一个有效的密钥,我们可以用它进行测试。”
DNSSEC正在跨Internet基础设施部署,从DNS层次结构顶端的根服务器,到运行。com和。net以及其他顶级域名的服务器,再到缓存各个网站内容的服务器。
一旦广泛部署,DNSSEC将防止缓存中毒攻击,即流量从合法网站重定向到虚假网站,而网站运营商和用户都不知道。缓存中毒攻击是由安全研究人员披露的DNS的一个严重缺陷造成的丹Kaminsky在2008年。
“互联网名称及数字地址分配机构”(互联网名称与数字地址分配机构) 7月初,一个类似的重要仪2020欧洲杯预赛式将在洛杉矶举行。
密钥仪式将演示Internet工程社区创建的一组程序,这些程序以一种安全的方式为根区域生成和存储密钥。与会者将包括来自世界各地的ICANN工作人员和DNS专家。将对密钥生成和存储过程进行审计。
“来自世界各地的人们将参与为顶级DNS创建密钥的过程,”他解释道史蒂夫·克罗克他是互联网安全专家,同时也是新uro公司的首席执行官。“他们将作证,并能够报告,适当的程序是公平和严谨地进行的。”
这两个重要的仪式是将DNSSEC部署到根区域生产规模之前的最后几步,该部署计划于7月15日进行。
从现在到7月15日,根服务器操作员将对DNSSEC进行额外的测试。
席尔瓦说:“我们正在测试我们能想象到的尽可能多的情况。”“我们试图测试每一个键大小的排列,键的翻转,键的过期以及所有这类问题。我们正在测试,看系统如何反应,以及我们的监视器和侦测器是否能捕捉到这类东西。”
Silva说,由于在根服务器上增加了新的监控功能,测试进展顺利。
Silva说:“我们对在基础设施中增加的监控器非常满意。”“现在根区有了更多的部分。我们有钥匙在里面。我们有信任锚在那里。根区域中有许多新材料,传统的监视器正在确保名称一致和语法正确。现在我们有了更多的信息,所以我们扩大了监控范围,寻找过期的密钥、无效的密钥、没有正确签名的密钥等等。”
卡明斯基bug驾驶DNSSEC
自从2008年发现卡明斯基漏洞以来,DNSSEC获得了大量的支持。
包括瑞典、捷克共和国、波多黎各、保加利亚和巴西在内的一些国家已经在其国家代码域上支持DNSSEC.org域非营利组织。
美国联邦政府正在部署DNSSECgov域。VeriSign表示,接下来的是。edu,将在7月以密码方式签署,之后是。net和。com,分别在11月和2011年3月签署。根区域签名后,支持DNSSEC的顶级域名就可以为其网站操作员提供端到端安全性。
“随着瑞典、巴西和其他国家的人们开始使用DNSSEC,我们预计会有一波热潮,”Silva说。他补充说,由于流行的DNS软件的默认设置,高达50%的DNS查询可以支持DNSSEC标准。
到目前为止,互联网安全专家还没有发现从根服务器到下部署DNSSEC的技术障碍。
“这是相当顺利的,”Crocker说到DNSSEC在根服务器上的推出。“我还没有听说过任何问题”会延迟DNSSEC在。com或。net上的部署。