运营商迟迟不肯部署DNS安全扩展协议
一直以来,DNS安全扩展协议(DNSSEC)的部署稳步发展,但是近来,DNSSEC部署工作受到阻碍,美国主要运营商迟迟不肯部署DNS安全扩展协议。
随着互联网的发展,互联网域名系统的安全问题越来越成为人们关注的焦点。近来,互联网域名系统受到的威胁与攻击层出不穷。而部署DNS安全扩展协议能够增强互联网DNS安全。DNSSEC能够防止互联网的域名系统(DNS)受到“中间人”和缓存投毒攻击。安全专家Dan Kaminsky于2008年发现DNS中存在一项严重的安全漏洞,正是该漏洞导致缓存投毒攻击成为可能,但是,DNSSEC能够通过数字签名和公共密钥加密法修复这一漏洞。
笔者认为,为了网站经营者和最终用户的利益,DNSSEC部署战略必须在各级DNS中实施。
目前,一些顶级域名注册机构已经宣布了部署DNSSEC协议的最后期限:.org和.edu截止6月;.net截止12月;.com截止明年三月。但是,美国的十家顶级域名运营商还未作出表态。
目前,部署DNSSEC遇到了难题。经费问题是运营商真正的难题,Neustar公司首席技术官Rodney Joffe说。
另一个妨碍DNSSEC实施的问题就是目前还没有一款浏览器支持DNSSEC。Joffe指出,至少需要两年,DNSSEC才有可能得以全面实施。。
同时,Joffe指出其公司的被称为缓存防御者者UltraDNS管理服务能够保护DNS不受Kaminsky式的攻击。
最后,Joffe指出,DNSSEC存在缺陷,只有在端到端无间断的情况下,才能正常发挥作用。
|
|
|
