網頁設計.ORG 域名將是最安全的嗎?
發佈者:作者:Web Design香港網頁設計大皇 - Web Design
網站設計
.ORG 域名屬於 PIR(Public Interest Registry) 頂級域名(gTLD - generic top level domain),用於非贏利性組織,它也將成為最安全的域名,因為 .ORG 即將採用 DNSSEC (DNS Security Extensions)擴展,這是一個附加在 DNS 上的額外的安全擴展層。
.ORG 域名對 DNS 安全的改進來得正是時候,安全專家 Dan Kaminsky 最近發佈了 DNS 系統的一個嚴重漏洞(請參閱:DNS 漏洞細節被洩露,攻擊即將開始,以及DNS 漏洞發現者 Dan Kaminsky 訪談錄),而 DNSSEC 可能是該問題的一個最好的長期解決方案。
.ORG's CEO Alexa Raad 告訴 InternetNews.com,DNSSEC 會解決 DNS 的一個非常現實的問題,.ORG 一旦採用該技術就會變得非常安全,儘管還有其它的安全問題,但 DNSSEC 解決了訪問綁架問題。
DNSSEC 提供了對 DNS 的簽名校驗,該機制保證了 DNS 的準確,Kaminsky 發現的 DNS 漏洞中,未經安全防護的 DNS 查詢在用戶毫不知情的情況下,被綁架到偽造的地址。
DNS 服務商,包括開源 BIND DNS 服務器的主要發起者 ISC,以及微軟等,已經對他們的 DNS 架構進行升級以使 DNS 毒藥攻擊更難發生。而 Kaminsky 以及 ISC 等組織呼籲,DNSSEC 才是解決這個問題的長期有效的方案。
就在 Kaminsky 公開 DNS 漏洞後的幾個周, PIR 首先在7月份宣佈,他們將在 .ORG 域名體系中採用 DNSSEC。Raad 稱,PIR 宣佈採用 DNSSEC 並不僅僅因為 Kaminsky 發現的漏洞,事實上,PIR 兩年前就已經染指 DNSSEC。
然而,PIR 計劃採用 DNSSEC 並不意味著現在的 .ORG 域名已經安全了,事實上,通往 DNSSEC 完整應用的路還長。
Raad 表示,一切進展很順利,這並不是一個產品的發佈,而是一個漸進的過程。我們是第一家實施 DNSSEC 的頂級域名,我們將分幾個步驟進行,我們已經和不少有興趣的 .ORG 註冊商談過,他們當中很多是大的托管商。我們在2009年以後,會進入下一步工作,就是說服更多註冊商。
PIR 的 .ORG 技術提供商 Afilias 公司的 CTO Ram Mohan 解釋道,Internet 的頂端是那些根級域名服務器,這其中包含 .ORG。在 DNSSEC 機制下,域名所有者首先創建一個簽名,提交給註冊商,註冊商通過安全通道提交給PIR,PIR 會將這個安全簽名同 DNS 中的信息結合,接著,在幾秒種之內,你的域名就會被驗證並傳遍全球。
然而將全球的 DNS 分佈系統統一實施 DNSSEC 是個挑戰。Raad 表示,不過,Kaminsky 漏洞讓這個問題較容易得到正視,除此之外,還存在著技術問題,在眾多的程序和工具中採用 DNSSEC,測試,並分發到最終用戶也不是件容易的事情。
不過,DNSSEC 的採用將是一個漸進的過程,最先會在一些大的註冊商那裡試驗,獲得經驗,再一步一步向所有註冊商推廣。
負責 .COM 域名的 VeriSign 也對 DNSSEC 進行了研究,然而 InternetNews.com 在對 VeriSign CTO Ken Silva 的採訪中,後者表示,SSL 證書在 DNS 安全方面起著主要的作用。
Mohan 對 SSL 並無異議,但他認為 SSL 和 DNSSEC 解決的並非同一個問題。受 SSL 保護的站點,即使使用的是 EV-SSL 仍會被綁架。他表示,絕大多數用戶只是通過鏈接進入,如果 DNS 信息綁架,用戶仍然會進入錯誤的站點。
SSL 並不能解決綁架問題,它解決的是另外的問題。Mohan 說,從這個意義上說,DNSSEC 是唯一有效與可靠的方法。SSL 是 VeriSign 是收入來源,採用 DNSSEC 並沒有利益可獲。
在 .ORG 中使用 DNSSEC 並不是處於商業考慮。Raad 說,我們是非贏利性註冊商,我們的動機是在比較長的時間內對 Internet 有所幫助。我們希望在將來分享我們的經驗,以便讓更多的註冊商改善他們的 DNS 安全架構。
本文國際來源:http://webdesign.zoapcon.comcom/security/article.php/3774131/ORG+the+Most+Secure+Domain.htm
中文翻譯來源:COMSHARP CMS 官方網站網頁寄存
没有评论:
发表评论