全球备受信任的互联网基础设施提供商——威瑞信(VeriSign)公司日前公布其与互联网各界合作的战略要径,为.com和.net全球顶级域名(Top Level Domains, TLDs)部署DNS安全扩展协议(DNSSEC)。通过互联网泛行业的通力协作,威瑞信、ICANN和商界能够帮助防止互联网的域名系统(DNS)受到“中间人”和缓存投毒攻击。
当数据在互联网传输时,DNSSEC通过验证域名系统(DNS)数据来源的真实性并核实其完整性,从而为加强互联网基础设施提供可能。DNSSEC通过采用公共密钥加密法,对DNS数据进行数字签名,进而保护互联网各界免受伪造DNS数据的危害。数字签名能够确保数据来自于指定的来源,而且在传输过程中未被修改。DNSSEC同样可以证明某个域名不存在,以保护域名系统(DNS)的查询和响应免受伪造危害。这类伪造行为可能会改写指向,将用户引向钓鱼网站,或网址嫁接网站,或是发生“中间人”攻击,截获两个系统间的通信。
威瑞信将审慎而有条不紊地建设DNSSEC放在战略优先地位,目前正与EDUCAUSE及美国商务部合作,为.edu顶级域名部署DNSSEC。威瑞信运用与EDUCAUSE合作中获得的经验教训,结合早期DNSSEC实施于各行业的最佳实践方法,先从小规模实现入手,然后逐渐提高规模,同时从部署中积累经验,预计到2011年第一季度,DNSSEC将在.net和.com上全面实现。
威瑞信公司首席技术官Ken Silva表示:“自20世纪90年代初以来,威瑞信一直走在DNS安全扩展协议(DNSSEC)工作的前沿,目前正是为.com和.net部署DNSSEC的最佳时机。成功实现DNSSEC将涉及整个互联网生态系统,从域名注册商,互联网服务提供商,再到浏览器提供商。由于.com和.net的可靠运行在全球具有重要意义,我们必须在建设过程中采取谨慎而有序的方法。威瑞信承诺将帮助注册商和互联网服务提供商制订适合自身情况的执行决策。”
EDUCAUSE作为监管高等教育机构信息技术组织,其策略及分析副总裁Greg Jackson表示:“我们非常荣幸能够与威瑞信和美国商务部合作,为互联网新增这一重要的安全要素。 高等教育日益依赖于可信且可靠的数字通信实现教学、研究和外联工作。为.edu顶级域名新增DNS安全扩展协议(DNSSEC)是我们业界和互联网行业一项重大进步。”
目前,威瑞信正与域名注册商及互联网服务提供商紧密合作,协助他们实施DNSSEC部署战略。本月,威瑞信已推出一项教育训练课程,为注册商、互联网服务提供商和广大注册者提供他们评估和实现DNSSEC保护的工具和培训。此外,威瑞信还在其研究机构内部建立起一座“互通性实验室”,使供应商能够评估其配有DNSSEC设备的互通性。当向.com和.net顶级域名部署DNSSEC时,威瑞信将邀请电脑和网络设备制造商进入其设施,检查设备功能和运行情况。
Ken Silva还表示:“DNS安全扩展协议(DNSSEC)是网络安全的一个重要组成部分,但却不是万能的,它不能解决互联网安全中许多的常见威胁。这便是为何要应用其他保护的原因,如扩展验证(EV)SSL证书和双因素认证,这些保护为每个人实现互联网安全起到至关重要的作用。”