政策制定者解读 DNSSEC
由于政府、金融机构、互联网服务提供商 (ISP)、企业和其他组织愈发意识到 DNS 相关威胁,DNSSEC 的采用日益广泛。
互联网在政府、商务、通讯和世界范围内的国防安全计划中发挥着重要的作用。域名系统安全扩展 (DNSSEC) 为此重要资源的可信度提供了额外的一层安全保护。整个互联网社区都采用 DNSSEC 时,将实现最大效果。探寻 DNSSEC 对您的意义,注意要考虑的问题,了解威瑞信如何积极推动 DNSSEC 在整个互联网的部署。
DNSSEC 在实现全面部署时最为有效,从互联网层次结构的顶端(根区域和顶级域)一直向下部署到各个域名。
全球 DNSSEC 部署行动的规模、复杂性和影响表明,DNSSEC 要取得成功,政府和私营部门的政策制定者扮演着重要角色。负责电信、技术标准、商务、执法和国防安全方面国内和国际事务的政策制定者,他们眼光犀利、影响广泛,并能对 DNSSEC 的发展进程产生积极影响。
最高利益
DNSSEC 为互联网生态系统的所有成员带来了机遇。其中,影响最直接、最深远的是最终用户及其打交道的组织。DNSSEC 为互联网带来了额外一层的安全保护,可提供以下类型的益处:
| 生态系统成员 | 益处 |
|---|---|
| 互联网社区(如,电子商务类网站运营商、政府、金融服务或企业) | 显著改善的安全基础设施,可增强互联网可信度 |
| 最终用户 | 减少意外重定向到欺诈网站(由中间人或缓存中毒攻击导致)的风险,这类风险可能导致身份盗用和其他安全隐患 |
| 注册商 | 先发者的竞争优势;有机会向客户可盈利的增强安全服务 |
| 互联网服务提供商 (ISP) | 互联网用户利用 ISP 的名称服务器服务进行互联网导航时,其数据安全将得到增强 |
| 软硬件供应商 | 有机会提供新产品和新解决方案 |
DNSSEC 实施不是一项简单的任务。它需要大量的资源、文档、测试和行业协调。它还引入了一些复杂的变化,对互联网生态系统的一些成员带来更大的影响。您在建议或实施这些政策、时间点和其他指导方针时,需要考虑这些复杂因素。
- 注册商必须升级系统,与支持 DNSSEC 的注册进行交互,为客户提供向注册商发送其 DNSSEC 密匙资料的机制,然后(如果注册商提供 DNS 主机托管服务)增加复杂的资源密集型 DNSSEC 密匙管理和签名服务。
- ISP 必须在其递归名称服务器上启用 DNSSEC,确保设备兼容性,且注意 DNSSEC 响应数据包可能比传统的 DNS 数据包大,因而对带宽有着更高的要求。
- 软硬件供应商必须升级现有产品,开发兼容 DNSSEC 且支持 DNSSEC 设备的新产品。
每个过程都具有复杂性,可能会影响系统运行,并需要进行大量的试验,有时可能需要数月。
DNSSEC 的任何推广都应按部就班地进行,尤其是关系到 .com、.net 等全球关键顶级域名 (TLD) 的可靠运行时。长期战略、计划和合作,不仅组织和行业内部或跨域实施,在国际上也要实行,为实施成功创造强大的基础。
威瑞信扮演着互联网安全卫士的角色。作为 .com 和 .net 注册机构,同时也是关键互联网基础设施服务的提供商,我们的任务是保护互联网社区免受新网络威胁,同时推动互联网的后续演变。我们的 DNSSEC 工作是现行关键互联网基础设施巩固和投资努力的另一举措。
威瑞信从 2000 年开始涉足 DNSSEC 的开发,我们工程师在 DNSSEC 散列认证否认存在 (NSEC3) 协议的制定中起到了带头作用。随着 DNSSEC 测试、实施和采用的推进,我们将继续与互联网技术社区合作,加入 DNSSEC 行业联盟等行业组织。
为帮助理解支持 DNSSEC 的环境有何意义,威瑞信部署了 DNSSEC 互操作性实验室。该互操作性实验室是一个配有 8,000 多个测试用例(用于各种潜在故障)的独立环境,允许 IT 社区的成员们测试他们的互联网和企业基础设施组件同 DNSSEC 之间的兼容性。
2010 年 7 月,威瑞信与互联网编号分配机构 (IANA) 和商务部 (DoC) 合作, 在根区域(DNS 层次结构的起点)完成了 DNSSEC 的部署。威瑞信还在 7 月与 EUCAUSE 合作启用了 .edu,并在 2010 年 12 月与 DoC 合作启用了 .net,然后在 2011 年 3 月启用了 .com。此外,大量顶级域 (TLD) 已由其他注册机构签名,包括 .gov、.org 和巴西、保加利亚、捷克共和国、 波多黎各和瑞典的国家代码 TLD 名称。
此外,我们将采取多项措施,帮助互联网生态系统的成员充分利用 DNSSEC。这些措施包括:发行技术资料、提供操作测试环境、开设培训课程、参加行业论坛以及开发 DNSSEC 管理简化工具。