近期涉及ICANN一直在推动采用它作为提高Internet安全性的一种方法内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于ICANN一直在推动采用它作为提高Internet安全性的一种方法最新消息。
互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers)正在与那些要求将DNSSEC用作互联网安全保护层的组织一起加入。
在6月21日ICANN在布鲁塞尔举行的第38届国际会议上的讲话中,ICANN首席执行官Rod Beckstrom争辩说DNSSEC(域名系统安全扩展)必须在保护Web方面发挥关键作用。
贝克斯特伦说:“互联网和域名系统是全球通讯,工业,社区和世界经济的中心。” “ ICANN就与DNS [域名系统]相关的网络安全问题在社区内进行了广泛的咨询。我们在许多关键的安全措施上取得了积极的进展,其中包括正在进行的DNSSEC根签名。”
过去,DNSSEC的采用一直很缓慢,但现在正在迅速发展。根据Afilias首席技术官Ram Mohan的说法,许多大型顶级域名已承诺部署,其根目录和所有主要gTLD(通用顶级域名)将于2011年中期签署。
Mohan在接受eWEEK采访时说:“ DNSSEC旨在解决中间人攻击,在这种攻击中,第三方可以通过DNS在您与您要访问的位置之间进行攻击。” “ DNSSEC在DNS基础结构中引入了数字签名,可以为用户提供有效的验证,证明其应用程序(例如Web或电子邮件)使用了他们想要访问的服务器的正确地址。”
Mohan继续说道:“部署DNSSEC后,它将确保您到特定目的地后不会被欺骗或劫持。…网站,应用程序,电子邮件以及Internet上的所有内容都取决于DNS。DNSSEC以其他技术无法实现的方式保护Internet的基础结构层。”
Mohan说,直到最近才采用DNSSEC的主要原因是,整个互联网社区都不认为它很重要。当安全研究员Dan Kaminsky发现DNS中的严重协议漏洞时,这种情况在2008年发生了变化。
莫汉说:“ 在发生卡明斯基错误之前,DNSSEC的部署进展缓慢。” “没有紧迫性,没有理由继续进行部署。卡明斯基证明了DNS有一个巨大的漏洞,而DNSSEC是唯一可以解决该漏洞的方法。
“网络服务提供商或ISP可能是解锁DNSSEC的最关键的钥匙。它们的服务器响应全球大多数DNS查询并将这些响应传递给最终用户……注册商和Web托管提供商是至关重要的,因为他们是最终域名所有者的网守。他们管理获取密钥和签名并将其发送到注册表和根系统的关键部分。他们必须在上游和下游传递数据。”
Mohan说,网络硬件制造商是最后一个难题,必须对现有路由器进行升级。
“一个鲜为人知的事实是DNS不是在PC上运行,而是在路由器上运行。就像您不会在486台计算机上运行Word 2007一样,您也不会在拥有10年历史的路由器上运行DNSSEC。”说过。“但实际上,家庭用户通常依赖于较老的路由器,这些路由器可能无法正确处理DNSSEC请求。因此,向家庭用户提供其硬件的路由器制造商或ISP应该计划进行硬件升级,以确保他们的路由器客户可以使用DNSSEC和我们的下一代DNS系统。”
Infoblox和The Measurement Factory于2009年11月发布的研究发现,DNSSEC签名的区域在2008年至2009年之间增加了约300%。但是,以原始数量计算,DNSSEC签名的区域的数量仅次于区域总数。
Mohan说:“像Comcast这样具有远见的ISP甚至宣布了DNSSEC试验和完整的部署计划。” “鉴于这些令人振奋的进步,将DNSSEC带给最终用户需要注意的下一个重要领域是要完全符合DNS信任更改的下一个层次。”