公共利益注册中心(Public Interest Registry)今天宣布,它已经开始使用称为DNSSEC的DNS安全扩展对.org顶级域进行加密签名。
DNSSEC是一种新兴的标准,它通过让网站使用数字签名和公钥加密来验证其域名和相应的IP地址,从而防止欺骗攻击。
DNSSEC被认为是增强DNS抵御漏洞的最佳方法,其中包括Kaminsky Bug,Kaminsky Bug是去年夏天发现的DNS漏洞,允许黑客在用户不知情的情况下将流量从合法网站重定向到假网站。
“ DNSSEC是必需的基础架构升级,”公共利益注册(PIR)首席执行官Alexa Raad说。“它已经超过了成为实践必要性的理论机会的门槛。问题就变成了:我们如何使其发挥作用?”
.org具有750万个注册名称,是部署DNSSEC的最大域。
当前的DNSSEC用户包括由瑞典,波多黎各,保加利亚,巴西和捷克共和国运营的代码域。
拉德说:“我们签署该区是非常重要的一步,但这也是一个象征性的步骤。” “大型[通用顶级域名]现在已经签署了他们的区域。这将向该链中的所有其他参与者发出信号,该是在软件和应用程序上进行认真工作以使DNSSEC在不久的将来可行的时候了。”
PIR于去年6月宣布了部署DNSSEC的计划,并在12月誓言与DNSSEC行业联盟成员分享其经验。该联盟包括领先的域名注册机构,例如VeriSign,NeuStar和Afilias,以及DNS软件提供商NLnet Labs,Secure64和InfoBlox。
Raad说,PIR与DNSSEC分享经验非常重要,因为“这不是一个参与者可以承担的任务。确实需要一个村庄,借用一个短语,才能正确地做到这一点。”
PIR向行业提出的一项建议是DNSSEC部署使用较新的NSEC3算法,而不是较旧的NSEC,后者较不安全,需要更多处理。
PIR还在促进DNSSEC行业联盟制定操作程序,例如如何将域从支持DNSSEC的寄存器转移到不支持DNSSEC的寄存器。
“我们认为这是一项巨大的责任,”拉德说。DNSSEC部署“我们要确保审慎和谨慎取代仓促”。
PIR将于6月2日宣布它将与NSEC3签署.org域,并已开始与少数几个使用第一个伪造的域名而不是真实的.org名称的注册商进行DNSSEC测试。PIR计划在接下来的几个月中继续扩大其测试范围,直到注册表准备好为所有.org域名运营商支持DNSSEC。
Raad表示,她预计2010年将在.org域中全面部署DNSSEC。
她说:“我预计今年不会是日历年。” “这是关于学习并与行业分享我们的学习。”
.org域名持有者的喜讯是PIR的DNSSEC测试和部署不会影响他们的日常运营。
“必须指出的是,.org域名持有人不必做任何事情,” Raad说。“他们的域名将照常运行。”
拉德说,企业网络管理人员应开始询问其ISP,域名注册商和DNS供应商他们为支持DNSSEC所做的工作。
自从去年夏天发现Kaminsky错误以来,DNSSEC的工作首次设想是在1995年。
联邦政府今年将在其.gov域中部署DNSSEC,并计划在2009年底之前签署所有子域。
VeriSign承诺到2011年在.com和.net上部署DNSSEC。
但是,互联网工程界正在等待联邦政府在根区域上部署DNSSEC。
DNSSEC行业联盟将于6月11日至12日在华盛顿举行座谈会,讨论DNSSEC部署问题,包括如何最好地签署根区域。