Доменный регистратор Verisign, управляющий двумя крупнейшими зонами .com и .net, сегодня сообщил, что компания развернула поддержку технологии DNSSEC для доменной зоны .net, где в данный момент насчитывается более 13 млн доменных имен. Компания, отвечающая за функционирование доменных зон, предлагает реализовать обязательную поддержку доменной технологии DNS Security Extensions (DNSsec) в масштабах всех крупнейших международных доменных зон, таких как com, net, org, biz.
По мнению инженеров компании, обязательная реализация DNSsec существенно усилит общую безопасность интернет-инфраструктуры, поможет защититься от многих типов интернет-атак, связанных с переадресацией пользователей на злонамеренные сайты и в целом позитивно скажется на сетевой безопасности. В Verisign говорят, что были одними их тех, кто еще в ранних 90-х создавал технологию защищенного DNS и с тех пор DNSsec обрел необходимую надежность и зрелость.
"Успешное развертывание DNSsec должно вовлечь всю интернет-инфраструктуру - от регистраторов, до программистов и пользователей. Защита доменной системы критически важна для современного мира, следует подойти к этому вопросу с максимальной серьезностью", - полагает Кен Силва, технический директор Verisign.
По предварительным данным, полноценная поддержка DNSsec в зонах com и net должна быть реализована в первом квартале 2011 года.
В рамках DNSSEC происходит расширение системы DNS за счет добавления к ней механизмов проверки подлинности данных с помощью цифровой (электронной) подписи. DNSSEC можно разворачивать постепенно, пристраивая к существующей системе доменных имён. В некоторых доменах верхнего уровня DNSSEC уже запущена (например, SE, BG). Однако корневые серверы глобальной DNS пока не защищены с помощью новой технологии.
Основная особенность разработки заключается в удостоверении данных с помощью цифровой подписи, основанном на криптографии с открытым ключом. Цифровая подпись прикрепляется к адресной информации, размещённой на сервере DNS. С цифровой подписью связаны два ключа: открытый и секретный. Открытый ключ позволяет только проверить достоверность подписи, а для генерации новой подписи (подписывания адресных данных) потребуется знание секретного ключа. Создать за разумное время валидную цифровую подпись, зная только открытый ключ и обладая ограниченными вычислительными ресурсами, практически невозможно, при нынешнем уровне развития математики.
Цифровая подпись может быть представлена в виде набора байтов, распространяемого вместе с адресной информацией из DNS. При этом конкретная цифровая подпись зависит от подписанных ей данных, то есть подпись нельзя просто скопировать, "отрезав" от одного набора данных и "приклеив" к другому, - подлог будет обнаружен с очень большой вероятностью.
Источник: CyberSecurity
|
