网络安全专家正在讨论是否应取消保护互联网域名系统的协议。
DNSSec是在1994年开发的,但直到2008年,这项技术才得到认真对待。那时,域名系统中的错误允许攻击者通过“DNS缓存中毒”来模仿任何服务器,无论是Web服务器还是电子邮件服务器。今天,DNSSec已经存在了12年,直到最近五年才开始用于保护互联网基础。网络专家现在质疑DNSSEC是否不存在,特别是在考虑其使用的高成本时。
在今年早些时候发布的博客文章中,Mastasano Security的创始人表示,DNSSEC软弱,不安全,不完整,不必要,昂贵并且“由政府控制”。市场上已有更好的DNS安全解决方案。这些方案基于浏览器,反过来对名称服务器产生影响。他建议公司应“支持这些协议,并使DNSSEC代码远离您的服务器。”
这些评论是对一项被宣布为“未来安全基石”的协议的强烈反击。 DNSSEC技术的主要倡导者,第一公司履行协议并提供服务:运营商域.SE瑞典的高级别人士认为,这是必要的辩论本月DNSSEC的价值做出回应。
“我们收到了很多关于博客文章的消息,我个人认为我们应该回应这些批评意见,”.se域名的安全主管说。但他在文章中使用的最直言不讳的言论只是“DNSSec有可能成为一个很好的补充。”
.se安全总监Anne-Marie Eklund-Löwinder
发生了什么,为什么? DNSSec旨在确保已知不安全的域名系统可以保证一定程度的权限,即确保其通信对象不是伪装的服务器。该协议是很久以前开发的,但由于其自身的技术复杂性和实施成本,直到研究人员发现DNS中的一个严重错误才突然变得流行。
本次辩论由Mastasano的创始人在发布博客做了点茎:DNSSEC只是一个小更难以攻击,并不能解决根本问题。如果公司的安全系统相对健壮,例如使用数字证书,DNSSec将不会使整个系统更安全,但它将变得无用。
此外,DNSSec使用旧的加密方案,可能成为政府监控危害的切入点。在博客文章中提到的解决方案很简单:就是给DNSSEC并专注于某些系统提供更高的安全性,如“设置项”,它可以离开中央组织的依赖,只有通过运营商沟通独立域名。中央机构无法解决互联网信任问题,它们是信用本身的问题。“
在美国国家安全局的大规模监视项目文件中,暴露给斯诺登的许多项目都需要花费很多资源来破坏安全设施。该博客文章还认为,DNSSec可用于监控项目并拦截来自全球网络的数据。
DNSSev及其基于技术的DANE(基于DNS的命名实体认证)可以强制人们将数据提交给任何拥有顶级域名服务器的政府,因为这些政府拥有权限。
域名安全主管。将“政府监督行为”一词称为“一种反复无常的意外结论,而不是基于相关的可信分析”。她想总结一下DNSSec的好处。
她认为虽然DNSSEC并没有完全解决安全问题,但它使入侵更加困难,而且目的本身也值得推广。
争议双方的共同点是,每个人都同意证书颁发机构(CA)不提供适当的信用和安全级别。近年来,已经发生了一系列针对证书的攻击,其中许多攻击直接针对大型CA.因此,有必要想办法改善现状,这是传统安全领域的一个问题。攻击者成功入侵后每个主CA的损坏控制是不同的。一些受影响的CA在攻击后缓慢发布信息,这是不合适的。他们表现出的是缺乏对危机管理的认识。
瑞典方面认为,该问题的解决方案是使用DNSSec来验证证书本身是否已被泄露。 Mastasano认为不应使用DANE,而是通过单个域运营商或独立个人提供额外级别的验证。
瑞典方面还指出,使用DNSSec本身并不需要增加额外的代码,而且添加代码也可以增加未来的漏洞。
Mastasano认为DNSSec远非完美。有一个记录DNSSec故障的网页,上面有很多例子。
互联网走向何方?是DNSSec还是相反?现在判断还为时过早,但考虑到与ICANN域名主管达成协议,已经安装了超过一千个新的顶级域名。有可能虽然DNSSec有很多问题,但支持它的舆论声音在未来几年会相对较大。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
