我想分享关于安全技术“域名系统安全扩展”(DNSSEC) 的一些要点和将在下一年实施的一些重要更新。这些要点提取自我最近在博茨瓦纳的哈博罗内举行的 2016 年非洲互联网峰会 (AIS'16) 上的演讲。
DNS 是一个答询系统,任何使用互联网查询服务的人都依赖 DNS 响应。但是,不安全的 DNS 响应可以进行伪装,将指向可信服务的流量重新定向到恶意网站。例如,访问银行账户信息的尝试可能会被重新定向到窃取用户身份信息和密码的网站,甚至可能会在受害者的计算机上安装恶意软件。
通过部署包含两个主要功能(签名和验证)的 DNSSEC 可以保护互联网用户免受攻击。在这篇文章中,我希望把重点放在验证上,验证是 DNS 协议的增强安全措施,用于检查收到的答案的真实性和完整性。
由于大多数互联网用户信任并依赖他们的网络服务提供商,使得 DNSSEC 验证通常发生在提供商的基础设施上。互联网或连接服务提供商应在其经营的 DNS 解析器上启用 DNSSEC 验证。DNSSEC 验证减少了攻击者使用 DNS 将服务提供商的客户重新导向恶意网站的风险。尽管此类攻击相对较少,但随着其他更容易攻击的漏洞陆续被堵上,此类攻击也可能变得更普遍。
除了保护网络服务提供商的基础设施,开启 DNSSEC 验证提供了一种让 DNS 中存储的数据获得更全面信任的机制。此功能创造了可以构建更安全服务的全新基础设施。
通过配置 DNS 服务器来执行验证相对简单,验证解析器的运作与非验证解析器的运作保持一致。一些日常维护必不可少,验证解析器的运营商必须确保 DNS 根域信任锚的配置为最新状态。此过程也可以自动进行。
信任锚相当于根区密钥签名密钥 (KSK) 中的公共加密密钥。该密钥将在 2017 年变更。为确保社群了解这些变更,我们创建了“根区 KSK 轮转”资源页面,该页面包含有关变更的详细信息、社群成员的参与方式和访问其他资源的链接。
采纳 DNSSEC 验证的组织不断增多,这让我们大受鼓舞。虽然只是很小的一笔投资,但却能创造更加安全和实用的 DNS 基础设施。