创新

域名系统安全扩展 (DNSSEC)

从端到端验证互联网。

从最初开发 DNSSEC

威瑞信从 2000 年开始涉足 DNSSEC 的开发,我们工程师在 DNSSEC 散列认证否认存在 (NSEC3) 协议的制定中起到了带头作用。随着 DNSSEC 测试、实施和采用的推进,我们将继续与互联网技术社区合作,加入行业组织。

域名系统安全扩展 (DNSSEC) 可以帮助保护用户不被重定向到诈骗网站和非预期地址,从而提高用户对互联网的信任。

2010 年 7 月,威瑞信与互联网编号分配机构 (IANA) 和美国商务部 (DoC) 合作,在根区域(DNS 层次结构的起点)完成了 DNSSEC 的部署。威瑞信还在 7 月与 EUCAUSE 合作在 .edu 上启用了 DNSSEC,并在 2010 年 12 月与 DoC 合作在 .net 上启用了 DNSSEC,然后在 2011 年 3 月在 .com 上启用了 DNSSEC。DNSSEC 的采用从 2011 年开始有所进展,运营顶级域 (TLD) 的注册机构中有 1/3 多一点目前已经签署。

此外,我们将采取多项措施,帮助互联网生态系统的成员充分利用 DNSSEC。这些措施包括:发行技术资料、提供操作测试环境、开设培训课程、参加行业论坛以及开发 DNSSEC 管理简化工具。

威瑞信扮演着互联网安全卫士的角色。作为 .com 和 .net 注册机构,同时也是关键互联网基础设施服务的提供商,我们的任务是保护互联网社区免受不断出现的新网络威胁,同时推动互联网的创新工作。我们的 DNSSEC 工作是现行关键互联网基础设施巩固和投资努力的另一举措。


DNSSEC 时间表

1990 发现 DNS 中的主要缺陷并开始关于 DNS 安全的对话。
1995 DNSSEC 成为 IETF 中的正式主题。
1999 完成 DNSSEC 协议 (RFC2535) 并开发 BIND9 作为第一次具有 DNSSEC 功能的实施。
2001 密钥处理产生运行问题,使 DNSSEC 部署无法用于大型网络。IETF 决定改写协议。
2005 在多个 RFC — 4033、4034 和 4035 中改写了 DNSSEC 标准。10 月,瑞典 (.se) 在其区域启用了 DNSSEC。
2007 7 月,ccTLD .pr(波多黎各)启用了 DNSSEC,之后,巴西在 9 月启用了 .br,保加利亚在 10 月启用了 .bg。
2008 发行 NSEC3 标准 (RFC 5155)。9 月,ccTLD .cz(捷克共和国)启用了 DNSSEC。
2009 威瑞信和 EDUCAUSE 创建了 DNSSEC 测试平台来选择 .edu 注册人。威瑞信和 ICANN 签署根区域用于内部使用。ICANN 和威瑞信使用 KSK 签署了 ZSK。
2010 第一个根服务器开始采用 DURZ(特定畸形数据根区域)方法服务已签名的根区域。所有根服务器均采用 DURZ 方法服务已签名的根区域。ICANN 在美国维吉尼亚州的库帕尔举办了第一届 KSK 典礼。ICANN 发行根区域信方公钥(信任锚),且根区域操作员开始使用实际关键字服务已签名的根区域 — 已签名的根区域可用。威瑞信和 EUDCAUSE 启用 DNSSEC 用于 .edu 域。威瑞信启用 DNSSEC 用于 .net 域。
2011 2 月,向威瑞信转移已启用 DNSSEC 的 .gov 注册表。3 月,签署 .com,完全支持 DNSSEC 合规性,强化威瑞信托管的 DNS 服务。签署根区域中带有信方公钥(信任锚)的 59 个TLD。
2012 1 月,Comcast 宣布其客户正在使用 DNSSEC 验证解析程序。自 3 月开始,已签名的 TLD 数量增加至 90。