VeriSign公司表示,将支持域名系统安全扩展,称为DNSSEC,在.net和.com顶级域名2011年3月。
超过95万个网站 - 80000000使用.COM名称,并使用1500万.NET名称,包括 - 将有机会获得防止游客被不知情的情况发送到假冒的网站从事网络钓鱼和网址嫁接袭击,新的安全机制。
VeriSign周一宣布将实现其目标支持DNS安全扩展- 2011年3月在.net和.com顶级域名 - 被称为DNSSEC。
DNSSEC使用公钥加密和数字签名,以允许网站验证自己的域名和对应的IP地址。DNSSEC防止黑客劫持网站流量,并将其重定向到虚假的网站,这是所谓的缓存中毒攻击。
DNSSEC被认为是增强DNS抵御类似去年发现的Kaminsky漏洞的最佳方法。事实上,安全研究员丹·卡明斯基建议DNSSEC的广泛部署。
VeriSign一直在与Educause一起致力于DNSSEC的部署,Educause是一家为大学和学院运营。edu域名的非盈利组织。VeriSign和Educause为大学提供了一个DNSSEC测试平台,以测试新的DNS认证机制。VeriSign表示,到明年3月,DNSSEC将在。edu上全面运行。
威瑞信还与美国政府合作,在部署DNSSECDNS根服务器,这是在DNS系统分层的顶部。威瑞信经营着两家互联网13 DNS根服务器群。
“签署的根就在一个测试平台,现在,”帕特·凯恩威瑞信命名的副总裁。“我们将在7月1日之后在全球范围内整个DNS根区将签署具有故意的,务实的部署。”
根服务器 - - 对顶级域名如.com,然后通过个人域名持有者如www.idg.com当它从DNS树的顶部部署DNSSEC只是正常工作。
VeriSign表示,其在DNS根服务器和。edu域名上部署DNSSEC的经验,有助于注册中心准备在。com域名上添加认证机制,而。com仍然是互联网上最流行的域名。根据VeriSign的数据,截至2009年年中,超过1.84亿个域名被注册,其中8000万个是。com域名。
凯恩表示:“对网站注册商来说,其中一个挑战就是如何使其尽可能简单。”“当有人注册或维护一个域名时,需要做到无缝连接,加上域名安全委员会不会让他们感到困惑……人们将不得不记住更新他们的域名、SSL证书和密钥。”
凯恩说,整个.com和.net部署DNSSEC的最棘手的部分是允许域名注册商,如围棋爸爸,网络解决方案和Register.com,为他们的客户做了密钥管理。
“繁重的任务由注册商来完成,”凯恩说。“我们正在开发的工具,这将使它更简单,更便宜的注册... .Registrars代表.com和.net注册的80%是积极参与并出席了DNSSEC车间,我们赞助。”
凯恩说,VeriSign公司的计划已经DNSSEC部署在.NET 2010年第四季度和.com在2011年第一季度完成。
凯恩说,有来自想阻止他们的客户从堕入缓存中毒攻击的金融服务公司和领先的电子商务企业对DNSSEC的需求。
“我想你会看到我们的实现的几天内一些公司部署DNSSEC的,”凯恩说。“谁拥有最关心的人是谁拥有最惨重损失的人。金融机构是最诱因这样做,因为缓存中毒是一个完美的网络钓鱼攻击的人。答案已被损坏,否则你最终某个地方,你甚至不知道它。”
威瑞信说,还有许多工作需要做,以获得互联网准备DNSSEC。除了注册商,互联网服务供应商和浏览器厂商需要支持以标准为它才能正常工作。
DNSSEC还需要跨更多域部署。VeriSign表示,到2011年底,他们将在其运营的另外两个域名(。tv和。cc)中加入DNS安全机制。
与域名的大型组合公司需要确保他们的注册服务商推出DNSSEC,凯恩建议。“这些公司不只是有.com和.net的名字,而且还.info和.biz的名字,”他补充道。“他们应该被鼓励他们注册以获得其他[顶级域]这方面的工作。”
美国联邦政府正在部署DNSSEC的.GOV域名今年,与公共利益登记处宣布支持DNSSEC的.ORG域名在六月。其他国家如瑞典,波多黎各,保加利亚,巴西和捷克共和国已经支持安全的DNS查询这一附加层。