13个全球分布式服务器集群——在互联网工程界称为The根区-今天将开始以密码方式签署DNS查询。
的根区正在通过部署DNS安全扩展(DNSSEC)获得一层额外的保护免受黑客攻击。这个新兴的Internet标准允许Web站点使用数字签名和公钥加密来验证其域名和相应的IP地址,从而防止欺骗攻击。
法案同样为了是有效的,域名系统安全扩展必须部署在整个互联网基础设施,从根服务器DNS层次结构的顶部的服务器运行。com和。net等顶级域名,然后到服务器缓存内容为个人网站。
一旦完全部署,DNSSEC将防止缓存中毒攻击,即流量从合法网站重定向到虚假网站,而网站运营商或用户都不知道。缓存中毒攻击是由安全研究人员披露的DNS的一个严重缺陷造成的丹Kaminsky在2008年。
DNSSEC的支持者希望对根区域进行加密签名会产生多米诺骨牌效应,促使顶级域名和单个网站的运营者在他们控制的互联网基础设施上部署安全标准。
一些顶级域名已经部署了DNSSEC,并准备开始在他们的级别上签署事务。这些包括公共利益登记处的。org其中,瑞典的。se、英国的。uk、巴西的。br和捷克共和国的。cz。
美国联邦政府也在进行部署所有。gov网站上的DNSSEC。
下一个支持DNSSEC的是。edu,它将在7月进行签名,。net将在11月进行签名,com将在2011年3月进行签名——所有这些都将启用VeriSign。
在这些顶级域名被签署之后,公司可以部署DNSSEC来保护所有使用这些扩展的网站。
域名注册商Name.com的首席技术官Sean Leach说:“一旦。com被签了名,我认为就会有很多人争相采用。”“现在我们看到了早期的采用者。他说:“我发现,很多银行和电子商务公司都在采取观望的模式。他们中的大多数都设置了DNS服务器,他们正在测试如何上传密钥并将其推送到注册表中。我看到很多银行和电子商务公司都在采取观望的模式。”
Leach说,他的公司已经注册了100万个域名,其中有几十个客户正在测试DNSSEC。“我们看到的大多数DNSSEC请求都在.org上,但我们也在。se上看到了很多,”Leach说。
但是,在DNS体系从上到下广泛部署DNSSEC之前,网站仍然容易受到卡明斯基式的攻击。
”法案同样与域名系统安全扩展的一个问题是,它要求所有互联网的生态系统——从DNS服务器复制到终端用户的软件,它部署或失去了效用,”说罗德尼Joffe UltraDNS的创始人兼董事长NeuStar分工提供DNS服务管理。“我们仍然没有很多登记员有能力签署域名…直到你开始看到桌面上的应用程序启用了DNSSEC,这还需要一段时间。”