zh

2015 年将成为 DNSSEC 的丰收年

2015 年 02 月 10 日
作者: Richard Lamb

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

得益于主要网站托管服务提供商广泛采用 DNSSEC,2015 年可能会成为 DNSSEC 效益曲线的"拐点"年。DNSSEC 是指在现有的 DNS 记录中增加加密记录(也称为"数字签名"),以确保最终用户在域名解析过程中能够发现任何变化。这种加密保护就是我们所说的"签名"。

2010 年,我们已经对 DNS 的根域进行了签名 [1]。最近,DNSSEC 部署发展得很快,现已对 78% 的 TLD 进行了签名 [2],并且还有越来越多的最终用户正在验证 [3]。DNS 查找结果:当前的统计数据显示,全球有 12%、美国有 25%、瑞典有 62% 的最终用户已经开始实施验证 [4]。最后一项统计具有相当重要的地位和很好的发展前景:一旦最终用户开始"验证"DNS 记录是否签名,那他们便能有效地保护自己免遭未经授权的修改和缓存投毒等攻击 [5]。

目前,互联网的基础架构正朝着为 DNSSEC 提供全面支持的方向大力发展。不过,要确保 DNSSEC 行之有效,就必须对所有域名进行签名。而这是一个艰巨的目标,到目前为止仅仅只有 2-3% 的域名进行了签名。不过,这一状况可能很快就会有所改观。Web 内容和 DNS 托管服务提供商 CloudFlare [6] 已经宣布将在其整个平台内部署 DNSSEC。可以预见,在 Cloudflare 部署之后,使用 DNSSEC 签名的网站数量将明显增加,从而使得从 DNSSEC 中受益的最终用户、内容提供商和创新者 [7] 的数量陡增。更多的用户将会从验证中获益,同时,因为竞争的关系,可能会驱使越来越多的主要提供商部署 DNSSEC。

我们如何保持这一增长势头?

只有在得到广泛部署后,DNSSEC 的优势才能够发挥得淋漓尽致。因此,为了确保互联网的安全性,我们必须继续提高公众对 DNSSEC 的认识。我可以很自豪地说,作为互联网社群的成员之一,到目前为止,我们一直在这样做。以后我们也会保持节奏继续前进。

理查德•兰博 (Richard Lamb) 博士
DNSSEC 高级项目经理
ICANN

[1] 实现对根域的签名是我们与社群以及根域管理合作伙伴共同努力的结果。http://www.root-dnssec.org/
[2] DNSSEC TLD 统计数据。https://rick.eng.br/dnssecstat/
[3] 如果对域名进行了签名,则你的 ISP、企业或个人 DNS 解析器便会对 DNS 查找请求返回的响应结果进行验证(检查是否存在意料之外的修改,一旦有,则表明可能存在攻击)。因此,不断增加使用 DNSSEC 解析器的用户数量至关重要。
[4] DNSSEC 验证解析器统计数据。 http://gronggrong.rand.apnic.net/cgi-bin/worldmap
[5] 缓存投毒 http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
[6] https://blog.cloudflare.com/help-us-test-our-dnssec-implementation/
[7] 有了 DNSSEC 之后,DNS 就是一个分布更标准 DNS 记录的全球安全数据库。这不断激励着那些希望提高互联网和物联网安全性的人们。例如:DANE http://www.internetsociety.org/deploy360/resources/dane/





Authors

Richard Lamb