13个全球分布的服务器集群——在互联网工程圈中称为根区-将开始加密签名DNS查找今天。
的根区正在通过部署DNS安全扩展(DNSSEC)获得一层额外的保护,以抵御黑客。这种新兴的互联网标准允许网站使用数字签名和公钥加密来验证其域名和相应的IP地址,从而防止了欺骗攻击。
法案同样为了是有效的,域名系统安全扩展必须部署在整个互联网基础设施,从根服务器DNS层次结构的顶部的服务器运行。com和。net等顶级域名,然后到服务器缓存内容为个人网站。
一旦完全部署,DNSSEC将防止缓存中毒攻击,即流量在网站运营商或用户不知情的情况下,从合法网站重定向到虚假网站。缓存中毒攻击是由安全研究人员披露的DNS中的一个严重缺陷导致的丹Kaminsky在2008年。
DNSSEC的支持者希望根区域加密签名会产生多米诺骨牌效应,促使顶级域名和单个网站的运营商在他们控制的互联网基础设施上部署安全标准。
一些顶级域名已经部署了DNSSEC,并准备开始在他们的级别上签署交易。这些包括公共利益登记处的网站,瑞典的。se,英国的。uk,巴西的。br和捷克共和国的。cz。
美国联邦政府也在进行部署所有。gov网站上的DNSSEC.
对DNSSEC的下一个支持是。edu,将在7月签署,。net将在11月签署,。com将在2011年3月签署-所有这些都将被启用VeriSign.
在这些顶级域名被签名之后,公司可以部署DNSSEC来保护所有使用这些扩展的网站。
域名注册商Name.com的首席技术官肖恩•利奇(Sean Leach)表示:“一旦。com签约,我认为你就会有一股被采纳的热潮。”“现在我们看到的是早期采用者。他们中的大多数都设置了DNS服务器,他们正在测试如何上传密钥并将其输入注册表……我看到很多银行和很多电子商务公司都处于观望模式。”
Leach说他有几十个客户在他公司注册的100万个名字中测试DNSSEC。利奇说:“我们看到的大多数DNSSEC请求都在。org中,但我们也在。se中看到了很多。”
但是,除非从DNS层级的顶层到底层广泛部署DNSSEC,否则网站仍然容易受到卡明斯基式的攻击。
”法案同样与域名系统安全扩展的一个问题是,它要求所有互联网的生态系统——从DNS服务器复制到终端用户的软件,它部署或失去了效用,”说罗德尼Joffe UltraDNS的创始人兼董事长NeuStar分工提供DNS服务管理。“我们仍然没有很多登记员有能力签署域名....直到你开始看到桌面应用程序支持DNSSEC,这仍然需要一段时间。”