“国家代码顶级域名(ccTLD)通常由政府控制,这些都是两个字母的域名,例如.ly和.nl,”York表示,“而大多数通用顶级域名(gTLD)都是由不同的注册机构控制,例如.com、.org
以及新的gTLD--.bank、.foo、.photos等,并且,这些注册机构几乎都是私营公司,其中大部分是商业公司。”
虽然很多ccTLD由政府控制,最流行的ccTLD(例如.de和.uk)并不是由德国和英国政府控制,而是由私营公司控制。York称,对于有些由政府控制的gTLD,用户应该首先检查他们是否担心在这些域名泄露信息,但监控并不是政府控制的问题。
“由于ccTLD运营商控制ccTLD的域名注册,他们当然可以更改你域名的记录,指向另一组DNS域名服务器,从而将你域名控制器交给另一个DNS运营商(这可能是他们自己),然后又更改DNS记录指向另一个网站,”York称,“DNSSEC在这里并不重要,因为ccTLD运营商可以控制TLD中的记录。”
根据Levin表示,这种情况几乎不可能发生,因为在信任链中有人会注意到异常情况。
“是的,政府会侵入所有地方,但考虑到现在的CA系统已经非常糟糕,我们没有理由相信DNSSEC会更糟,”Levin称,“此外,DNSSEC很难在不被发现的情况下受到攻击,因为人们很认真看待DNS,并且有很多冗余。”
Levin说, DNSSEC也许并不完美,但与证书颁发机构的问题相比,DNSSEC其实更好。同时,他表示可以理解为什么DNSSEC的部署进展缓慢,因为目前没有主流Web浏览器可以接受使用DNSSEC的TLS。
“它非常复杂,而且工具很糟糕。我的服务器有大约300个DNS区,虽然我全部在本地签名,但签名都会被忽略,除非更高级的DNS区使用DS(授权签字人)记录链接到我的密钥,”Levin称,“DNSSEC有两种类别,被称为NSEC和NSEC3。如果你使用NSEC,别人很容易列举你的区,即找出你的DNS区中所有的域名,这在有时候可能不方便操作。”当使用NSEC时,有关有效域名的信息被添加到针对不存在域名请求的DNS回复中;而在NSEC3中,这些信息会被模糊处理。
小编推荐阅读
