互聯網域名系統(DNS)安全到達里程碑
為互聯網域名系統擰緊安全螺釘的夢想在周三又向現實邁進了一步,這一天,互聯網的政策制定者們在北弗吉尼亞州舉行了一個簡單而又 隆重的儀式,生成并儲存了第一個將用于互聯網根域安全的密鑰。
這次的密鑰發布儀式是互聯網根域DNS安全擴展(DNSSEC)研發進程的最終步驟之一。DNSSEC是互聯網防范欺詐性攻擊的一個新的標準,允許 Web網站利用數字簽名和公共密鑰驗證域名及對應的IP地址。
“密鑰發布儀式將生成主根密鑰,該密鑰可為所有的其他密鑰提供簽名,”VeriSign的CTO Ken Silva解釋道。VeriSign運營著13臺互聯網根服務器中的兩臺,主要提供.com和.net頂級域名的注冊服務。“在實際推出DNSSEC之前 一個月首先生成一個有法律效力的密鑰十分必要,這樣我們就可以對其進行測試了。”
DNSSEC計劃在整個互聯網基礎設施架構中進行部署,從位于DNS層級架構頂端的根服務器開始,先到運行.com、.net以及其他頂級域名的 服 務器,然后再到為諸多網站提供緩存內容服務的服務器。
一旦被廣泛部署,DNSSEC將能有效地防止緩存投毒攻擊,后者是將互聯網流量從合法網站重定向到沒有網站運營者或用戶不知道的仿冒網站。緩存投 毒 攻擊是DNS中一個會產生嚴重后果的漏洞,由安全研究人員Dan Kaminsky在2008年公開披露。
周三的密鑰發布儀式由ICANN主辦,地點是在弗吉尼亞州卡爾佩帕市的一個安全的數據中心內。7月中還將在洛杉磯再舉辦一次類似的密鑰發布儀式。
密鑰發布儀式主要是向互聯網工程設計社區說明如何安全地為根域生成和儲存密鑰的步驟。與會者包括ICANN工作人員和世界各地的DNS專家。密鑰 生 成和儲存的整個流程都是經過公證的。
“來自世界各地的專家都將參與為DNS頂級域名創建密鑰的流程,”互聯網安全專家兼Shinkuro公司的CEO Steve Croker說。“他們是目擊證人,同時監督整個流程是在公平和嚴格合規的情形下進行的。”
這兩次密鑰發布儀式皆屬于大規模部署DNSSEC之前的最后步驟,第二次發布儀式計劃于7月15日舉行。
而從現在到7月15日,根服務器運營商們將對DNSSEC進行附加測試。
“我們將盡可能多地測試我們可能想到的各種情形,”Silva說。“我們將會對密鑰長度、密鑰倒轉、密鑰過期以及所有其他可能出現的問題進行系列 測 試。我們要測試系統的響應,看看我們的監控和探測能否捕捉到所有這些情況。”
【編輯推薦】
