联邦政府错过了在其。gov顶级域名上推出DNS安全机制的第一个截止日期。
联邦官员现在表示,他们将在2月底之前对。gov进行加密签名,这比原定计划晚了一个月。
联邦机构被要求在2009年1月之前在.gov顶级域名上部署DNS安全扩展(DNSSEC),并在2009年12月之前在管理和预算办公室(OMB)的所有子域上部署DNS安全扩展(DNSSEC)授权去年发布。
DNSSEC防止黑客劫持网络流量并将其重定向到虚假网站。这个互联网标准通过允许网站使用数字签名和公开密钥加密来验证它们的域名和相应的IP地址,以防止欺骗攻击。
DNSSEC是防止缓存中毒攻击的唯一万无一失的方法,黑客在用户不知情的情况下将流量从合法网站重定向到假网站。这些攻击是一个称为卡明斯基虫,这是今年夏天发现的。
美国总务管理局(GSA)周一表示,将在2月底之前在.gov上部署DNSSEC。
声明说:“OMB、GSA、[美国国家标准与技术研究院]和[美国国土安全部]的一个团队对该软件进行了仔细、精确的验收测试并进行了审查。”在这些审查期间,团队确定该软件将受益于改进功能的更改,这导致实施进度延迟一个月。”
美国联邦政府的拖延可能是一个信号,表明DNSSEC的部署比以前想象的要困难。
“DNSSEC并不像大多数人想象的那么容易,”NeuStar UltraDNS部门的高级副总裁Rodney Joffe说,该部门为顶级域名运营商提供托管DNSSEC服务这并不像签署区域协议那么简单。在推出DNSSEC之前,还存在资源调配问题、关键的移交问题以及许多管理流程。”
乔夫说,联邦政府的DNSSEC延期并不令人惊讶。”尽管如此,他们所取得的成就令人印象深刻。延误并没有那么严重,”他补充道。
在互联网标准创立以来的十年里,DNSSEC只被一个少数国家,包括瑞典、波多黎各、保加利亚、巴西和捷克共和国。
DNSSEC专家、NLnet实验室首席执行官、互联网架构委员会主席奥拉夫·科尔克曼(Olaf Kolkman)表示,他认为签署.gov的延迟并不严重。
科尔克曼在谈到美国政府的DNSSEC时说:“火车是蒸汽火车。”部署计划.
在DNSSEC的其他新闻中,NIST从Secure64购买了名为DNS签名者用于DNSSEC测试实验室。
Secure64营销副总裁马克·贝克特(Mark Beckett)表示:“这显然是一笔重要的交易,因为NIST是联邦政府领域内一个相当重要的客户。”我们正在与许多机构进行沟通和接触,因为他们的任务是在2009年底之前部署DNSSEC。许多机构正在研究我们的软件,但NIST是该领域的第一批实际客户。”
NIST信息技术实验室的计算机科学家斯科特·罗斯(Scott Rose)说,DNS签名器是NIST为其试验台购买的几个DNSSEC产品之一。
罗斯说:“NIST已经获得了几个产品,用于安全命名基础设施试点。”SNIP的目标是为各种网络解决方案提供一个测试平台,并帮助美国联邦机构DNS运营商在其生产区部署之前学习和发展DNSSEC运营经验。SNIP团队愿意与所有供应商合作进行测试和实验。”
专家们表示,美国政府必须维持其计划,在2009年12月之前在所有.gov子域中全面部署DNSSEC。他们还表示,这对未来至关重要DNS根区待签字。
“毫无疑问,DNSSEC是有必要的,”Joffe说我们现在在野外看到缓存中毒攻击……签署该区域需要在今年进行。”