DNS安全扩展(DNSSEC)在企业的部署进展缓慢,但专家表示,DNSSEC比现有的证书颁发机构(CA)系统更好,企业对部署这种技术的迟疑可能是因为对其目的的误解。
DNSSEC协议可帮助域名系统(DNS)数据中的数字签名来验证数据的来源以及检查其在互联网传输过程中的完整性。同时,基于DNS的域名实体认证(DANE)会通过使用DNSSEC来绑定传输层安全(TLS)到DNS,以确保证书来自特定的证书颁发机构。
《The Internet for Dummies》作者兼安全专家John Levine称,DNSSEC同时具有短期和长期的优势。
“主要的优点是,它可防止坏人伪造你的域名,让他们无法将自己的网站伪造成你的网站,”Levine表示,“更长远的优势是,你可以使用DNS来安全地发布各种新信息(最明显的是TLS证书),而不是让它们由第三方签名。”
然而,大家对于这个协议心生恐惧,因为据称它会方便政府监控数据。该理论认为,由于证书会存储在DNS中,如果政府控制重要的顶级域名(TLD),他们也将会控制用于验证这些证书的TLS加密的密钥。
Internet Society协会高级内容战略家Dan York称,这种认为DNSSEC方便政府监控的说法是一个谬论,因为这从来不是该协议的意图。
“DNSSEC只做一件事情:保护存储在DNS中信息的完整性。DNSSEC确保你从DNS获取的域名信息正是该域名运营商放在DNS的相同信息,”York说道,“它没有做到的是保护通信的保密性,它没有加密这些信息,因为这并不是它的工作目标。DNSSEC可以确保你连接到正确的IP地址,但在你的计算机和这些IP地址之前的通信仍然可能受到监控。”
York称,对于政府控制大量域名的说法也不完全正确。
小编推荐阅读
