域名系统 (DNS) 是互联网上的一项重要服务。随着越来越多的攻击利用 DNS 漏洞,安全性日益受到关注。ICANN 多年来一直通过各种倡议和能力建设计划支持 DNS 安全扩展 (DNSSEC) 部署。在过去两年中,随着技术合作范围区域化,此类工作有所增强。
DNSSEC 是帮助确保 DNS 解析安全的解决方案之一。域注册人、系统管理员或 DNS 运营商使用公共密钥加密和散列算法对权威域名服务器提供的区域文件中的 DNS 资源记录进行签名。安全递归解析器通常位于互联网服务提供商 (ISP) 基础设施中或企业网络内部,用于验证它们接收到的针对签名域的 DNS 答复是否真实、完整。此操作称为 DNSSEC 验证。安全递归解析器有助于防止将虚假记录引入其缓存(缓存投毒),并确认它们收到的针对已签名域的 DNS 数据来自经身份验证的权威域名服务器,且未被修改。域签名和 DNS 数据验证是相辅相成的。两者都应该作为 DNS 最佳实践予以采用。如需深入了解 DNSSEC,请点击此处。
我们想要分享最近在非洲和中东地区促进和支持 DNSSEC 采用方面所做的一些工作和经验,首先分享以联合国六种正式语言发布的 ccTLD 的 DNSSEC 部署指南 (OCTO-029)。在我们的地区中,我们正在与讲各种语言的人员交流,我们相信此逐步指南将使广大受众受益。
另外,我们还强调要协助国家和地区顶级域 (ccTLD) 使用 DNSSEC 来保护它们的区域为此,我们引导他们进行 DNSSEC 筹备评估,为他们提供综合培训和技术支持,帮助他们熟悉 DNSSEC 签名操作。借助测试环境,我们还重点介绍了特定设置面临的挑战,并帮助他们改进操作文档。
我们高兴地看到,一些 ccTLD 已经利用这些能力开发工具和流程来提高他们的技能,并在项目中取得进展。例如,我们很自豪地看到,.ci 和 .rw 等新的 ccTLD 最近使用 DNSSEC 来对其区域进行签名。其他 ccTLD 也在积极推进 DNSSEC 部署流程。我们也持续鼓励和帮助其他许多尚未确保 DNS 安全的用户,并期待看到他们启动此流程。
除了对他们的区域进行签名外,我们还帮助非洲和中东的十几家网络运营商(主要是 ISP)和移动网络运营商在其递归解析器中激活 DNSSEC 验证。现今,对于几乎所有递归解析器,激活 DNSSEC 验证都相当简单。但是,建议使用一些预激活完整性检查,例如 EDNS(0) 支持、TCP 53、时间同步、正确的根信任锚等。在生产环境中尤其如此。
我们的支持工作主要在于,让运营商不仅了解 DNSSEC 验证的重要性,还要注意先决条件检查。我们在验证流程中为运营商提供支持,并协助他们在每个递归解析器上激活和测试此流程。起初,一些公司不愿意做出改变,因为这可能会中断其客户服务。然而,开始与我们合作后,他们在作出改进时变得更加轻松自信,因为他们对所涉及的组件和出现问题时的缓解措施有了更清晰的认识。
非洲和中东是世界上 DNSSEC 采用率最低的地区。尽管我们已经取得了进展,但仍有许多工作要做。根据亚太互联网络信息中心实验室的数据,过去两年中,非洲的 DNSSEC 验证率从不足 25% 上升到了 30%,而中东地区的 DNSSEC 验证率仍保持在 50% 左右。我们会继续与合作伙伴协作,增加非洲和中东地区对 DNSSEC 的采用。
我们将继续为该地区的运营商提供培训和支持,以部署 DNSSEC 签名和验证。通过这种方式,我们的团队将持续帮助提高互联网的安全性和弹性。ICANN 上个月推出的全新 KINDNS 计划是我们工具包中的一个附加工具,可帮助运营商提高其 DNS 运营安全性。
我们的课程目录在线提供。如果您有任何问题、疑虑或者需要 DNS 方面的一般支持,特别是 DNSSEC 部署方面的支持,请随时通过 octo@icann.org 联系我们,我们非常乐意提供帮助。
