螺栓安全到互联网域名系统的梦想需要一步步接近现实周三互联网决策者主机北弗吉尼亚仪式,生成并存储将被用于保护互联网根区的第一加密密钥。
螺栓安全到互联网域名系统的梦想需要一步步接近现实周三互联网决策者主机北弗吉尼亚州举行仪式,生成并存储将被用于保护互联网根区的第一加密密钥。
此键仪式在DNS安全扩展(DNSSEC)部署在互联网上的最后一个步骤根区。DNSSEC是一个新兴的互联网标准,以防止通过允许网站,以验证其域名和使用数字签名和公共密钥加密对应的IP地址欺骗攻击。
“最关键的仪式将产生主根密钥,使神迹所有其他键,键解释说:”肯·席尔瓦,威瑞信公司首席技术官,其经营着两个互联网的13台服务器随着后端系统提供动力的.com和.net顶级域。“这是正在实际转出DNSSEC,使我们有一个有效的关键,而且我们可以用它测试之前做了一个月。”
DNSSEC被部署在互联网基础设施,从根服务器在DNS层次结构的顶部到运行.com和.net等顶级域名,然后下到服务器的服务器的缓存内容个别网站。
一旦它被广泛部署,DNSSEC将阻止缓存中毒攻击,即流量从合法网站重定向到一个假的没有网站经营者或用户不知道。缓存中毒攻击是由安全研究人员披露了在DNS中的一个严重缺陷的结果卡明斯基在2008。
今天的主要仪式是由互联网公司主办的名称和号码分配(ICANN)在库尔佩珀,弗吉尼亚州一个雷竞技电脑网站安全的数据中心,华盛顿外,特区类似的按键典礼将在洛杉矶发生在七月初。
关键的仪式将展示一套互联网工程社区创建的生成和存储密钥根区以安全的方式方法。与会者将包括ICANN的工作人员和专家DNS来自世界各地。密钥生成和储存过程中会进行审核。
“来自世界各地的人们会创造DNS的顶级关键的过程的一部分,”解释史蒂夫克罗克,Shinkuro的互联网安全专家兼首席执行官。“他们将见证并能够向大家报告,适当的程序相当严格和进行。”
两个关键的仪式是之前对根区域,计划于7月15日DNSSEC的生产规模部署的最后步骤之一。
现在7月15日之间,根服务器运营商将进行DNSSEC的额外的测试。
“我们正在测试许多可能的角落情况下,我们可以想像,”席尔瓦说。“我们正试图测试密钥大小,关键翻车,密钥过期而所有这些类型的问题,每次改变。我们正在测试,看看我们的监控和检测系统如何响应,以及是否能抓住那些各种各样的东西。“
席尔瓦说,测试进展顺利,感谢添加到根服务器性能监控能力。
“我们很高兴与额外的显示器,我们把根基础设施,”席尔瓦说。“有根区多了很多零件,现在,我们在那里有钥匙。我们有信任锚在那里。有根区有很多新的材料,与传统显示器中确保的名字是一致的,其语法是正确的。现在我们更多的信息,所以我们已经扩大了显示器看起来过期键,无效密钥,密钥没有被正确签名和所有那些各种各样的事情“。
卡明斯基的错误驱动器DNSSEC
DNSSEC已经获得的支持风潮以来,卡明斯基的错误是在2008年发现的。
少数几个国家 - 包括瑞典,捷克共和国,波多黎各,保加利亚和巴西 - 已经支持他们的国家代码域DNSSEC一样的.ORG域名对于非营利组织。
美国联邦政府是在部署DNSSEC之中.GOV域名。接下来是埃杜,这都将经过加密七月在十一月和.com,2011年3月签署的,由.NET其次,威瑞信说。一旦根区进行签名,顶级域名的支持DNSSEC可以提供终端到终端的安全,以他们的网站运营。
“我们预计一阵活动的人在瑞典,巴西等国部署DNSSEC,”席尔瓦说。他补充说,DNS查询的高达50%,可支持DNSSEC标准由于对流行的DNS软件的默认设置。
到目前为止,互联网安全专家没有看到任何技术障碍,以DNSSEC的从上往下的根服务器的部署。
“这是相当顺利,”克罗克说,DNSSEC转出根服务器上。“我还没有听说过任何问题”,将推迟.com或.net DNSSEC的部署。