Зона .org переходит на технологию DNSSEC
Public Interest Registry, администратор доменной зоны .org, сегодня
начал процедуру криптографической подписи доменов org. Развертывание
системы DNSSEC должно повысить безопасность в данной зоне, а также в
определенной степени защитить пользователей и владельцев адресов от
действий злоумышленников. Таким образом, зона .org стала первой из
международных доменных зон, организовавшей поддержку безопасного
протокола работы с доменной информацией.
В июля прошлого года внедрение DNSSEC в зоне .org проходило в тестовом режиме.
В основе действие протокола DNSSEC лежит метод цифровой подписи, который обеспечивает неприкосновенность данных в системе DNS.
Вся
информация о защищенном домене в системе DNSSEC определенным образом
зашифрована, поэтому может быть изменена только при помощи закрытого
ключа шифрования. В процессе защищенного делегирования домена сервер
генерирует пару ключей. Информация о ключах хранится на первичном
DNS-сервере. Закрытый ключ используется для подписи зоны после каждого
изменения.
В случае использования DNSSEC, получив доступ к
файлам с описанием домена на первичном или вторичном серверах DNS или
во время передачи данных между серверами, злоумышленник не сможет
внести изменения, так как не является владельцем закрытого ключа — все
несанкционированные изменения файлов будут отброшены как недостоверные.
Так же ни к чему не приведет попытка злоумышленника послать
динамический запрос на обновление данных о домене от имени другой
системы.
"DNSSEC - это необходимое инфраструктурное обновление.
Технология криптографической защиты доменных записей уже вышла из
стадии теоретической возможности, превратившись в объективную
практическую необходимость, - говорит Алекса Раад, исполнительный
директор Public Interest Registry. - Процедура промышленного подписания
доменов очень важна для нас, это своего рода символический шаг -
крупная доменная зона теперь работает по DNSSEC, это может стать
сигналом для других регистраторов".
В Public Interest Registry
говорят, что около года тестировали новую систему в сотрудничестве с
рядом крупных хостеров, таких как VeriSign, NeuStar and Afilias, а
также разработчиков программного обеспечения для работы с DNS NLnet
Labs, Secure64 и InfoBlox. По итогам тестирования было решено при
криптографической подписи использовать не стандартный алгоритм NSEC, а
его последнюю версию NSEC3, обладающую дополнительными степенями защиты.
Также
в Public Interest Registry разработаны соответствующие процедуры
трансфера доменных зон, в частности как перенести домен к провайдеру не
поддерживающему DNSSEC. По прогнозам Public Interest Registry, полное
развертывание DNSSEC будет завершено в 2010 году. "В этом году нам вряд
ли удастся завершить, так как предстоит обменяться данными с очень
многими провайдерами, их доменные системы работают пока как обычно", -
говорит Раад.
Ранее Правительство США приняло решение о том, что
все домены в зоне .gov также перейдут на DNSSEC. Компания Verisign
намерена к 2011 году внедрить поддержку DNSSEC в зонах .com и .net.
Источник: CyberSecurity.ru