DNS安全擴展(DNSSEC)在企業(yè)的部署進展緩慢,但專家表示,DNSSEC比現(xiàn)有的證書頒發(fā)機構(gòu)(CA)系統(tǒng)更好,企業(yè)對部署這種技術(shù)的遲疑可能是因為對其目的的誤解。
DNSSEC協(xié)議可幫助域名系統(tǒng)(DNS)數(shù)據(jù)中的數(shù)字簽名來驗證數(shù)據(jù)的來源以及檢查其在互聯(lián)網(wǎng)傳輸過程中的完整性。同時,基于DNS的域名實體認證(DANE)會通過使用DNSSEC來綁定傳輸層安全(TLS)到DNS,以確保證書來自特定的證書頒發(fā)機構(gòu)。
《The Internet for Dummies》作者兼安全專家John Levine稱,DNSSEC同時具有短期和長期的優(yōu)勢。
“主要的優(yōu)點是,它可防止壞人偽造你的域名,讓他們無法將自己的網(wǎng)站偽造成你的網(wǎng)站,”Levine表示,“更長遠的優(yōu)勢是,你可以使用DNS來安全地發(fā)布各種新信息(最明顯的是TLS證書),而不是讓它們由第三方簽名。”
然而,大家對于這個協(xié)議心生恐懼,因為據(jù)稱它會方便政府監(jiān)控數(shù)據(jù)。該理論認為,由于證書會存儲在DNS中,如果政府控制重要的頂級域名(TLD),他們也將會控制用于驗證這些證書的TLS加密的密鑰。
Internet Society協(xié)會高級內(nèi)容戰(zhàn)略家Dan York稱,這種認為DNSSEC方便政府監(jiān)控的說法是一個謬論,因為這從來不是該協(xié)議的意圖。
“DNSSEC只做一件事情:保護存儲在DNS中信息的完整性。DNSSEC確保你從DNS獲取的域名信息正是該域名運營商放在DNS的相同信息,”York說道,“它沒有做到的是保護通信的保密性,它沒有加密這些信息,因為這并不是它的工作目標。DNSSEC可以確保你連接到正確的IP地址,但在你的計算機和這些IP地址之前的通信仍然可能受到監(jiān)控。”
York稱,對于政府控制大量域名的說法也不完全正確。
“國家代碼頂級域名(ccTLD)通常由政府控制,這些都是兩個字母的域名,例如.ly和.nl,”York表示,“而大多數(shù)通用頂級域名(gTLD)都是由不同的注冊機構(gòu)控制,例如.com、.org
以及新的gTLD--.bank、.foo、.photos等,并且,這些注冊機構(gòu)幾乎都是私營公司,其中大部分是商業(yè)公司。”
雖然很多ccTLD由政府控制,最流行的ccTLD(例如.de和.uk)并不是由德國和英國政府控制,而是由私營公司控制。York稱,對于有些由政府控制的gTLD,用戶應(yīng)該首先檢查他們是否擔心在這些域名泄露信息,但監(jiān)控并不是政府控制的問題。
“由于ccTLD運營商控制ccTLD的域名注冊,他們當然可以更改你域名的記錄,指向另一組DNS域名服務(wù)器,從而將你域名控制器交給另一個DNS運營商(這可能是他們自己),然后又更改DNS記錄指向另一個網(wǎng)站,”York稱,“DNSSEC在這里并不重要,因為ccTLD運營商可以控制TLD中的記錄。”
根據(jù)Levin表示,這種情況幾乎不可能發(fā)生,因為在信任鏈中有人會注意到異常情況。
“是的,政府會侵入所有地方,但考慮到現(xiàn)在的CA系統(tǒng)已經(jīng)非常糟糕,我們沒有理由相信DNSSEC會更糟,”Levin稱,“此外,DNSSEC很難在不被發(fā)現(xiàn)的情況下受到攻擊,因為人們很認真看待DNS,并且有很多冗余。”
Levin說, DNSSEC也許并不完美,但與證書頒發(fā)機構(gòu)的問題相比,DNSSEC其實更好。同時,他表示可以理解為什么DNSSEC的部署進展緩慢,因為目前沒有主流Web瀏覽器可以接受使用DNSSEC的TLS。
“它非常復雜,而且工具很糟糕。我的服務(wù)器有大約300個DNS區(qū),雖然我全部在本地簽名,但簽名都會被忽略,除非更高級的DNS區(qū)使用DS(授權(quán)簽字人)記錄鏈接到我的密鑰,”Levin稱,“DNSSEC有兩種類別,被稱為NSEC和NSEC3。如果你使用NSEC,別人很容易列舉你的區(qū),即找出你的DNS區(qū)中所有的域名,這在有時候可能不方便操作。”當使用NSEC時,有關(guān)有效域名的信息被添加到針對不存在域名請求的DNS回復中;而在NSEC3中,這些信息會被模糊處理。
Levin稱,即使“使用被動DNS,別人都可以非常接近你的DNS,而你無法阻止這一點。NSEC3解決了列舉問題,但它讓DNSSEC變得比現(xiàn)在更加復雜,讓更新DNS區(qū)等操作變得更加困難。”
York也承認,DNSSEC協(xié)議也有問題,包括新增的操作要求、更大的DNS數(shù)據(jù)包、缺乏保密性,并可能使系統(tǒng)更容易攻破。不過,York稱,最后一個問題可以通過很多安全技術(shù)來應(yīng)對。
“從歷史上來看,DNS服務(wù)器經(jīng)常看到網(wǎng)絡(luò)管理員設(shè)置的條條框框,然后通常忽視它們,因為可能影響其運行。添加DNSSEC需要對DNS服務(wù)器進行一些額外的操作,”York稱,“由于簽名,DNSSEC會讓DNS數(shù)據(jù)包變得更大,這可能影響網(wǎng)絡(luò)流量,而緩解這個問題的一種方法是使用具有較小密鑰的簽名。”
York表示,目前互聯(lián)網(wǎng)工程任務(wù)組的DPRIVE工作組正在開展工作以保護計算機和DNS服務(wù)器之間的連接,以確保試圖監(jiān)控你流量的人不會看到通過本地網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包中的DNS查詢。同時,針對DNSSEC很多常見的問題的解決方案正在開發(fā)中。
“DNSSEC協(xié)議的優(yōu)點在于,它從一開始就被設(shè)計為可以不斷發(fā)展,”York稱,“與安全問題和安全算法一樣,該協(xié)議也可以不斷進化。”
京公網(wǎng)安備 11010502049343號