VeriSign:DNSSEC部署已走上正轨-新闻频道-CNW.com.cn!

来源:百度文库 编辑:神马文学网 时间:2024/03/29 16:48:47

VeriSign:DNSSEC部署已走上正轨

查看评论  发表评论2010年03月03日 13:26分         作者:波波编译     来源:网界网

摘要:DNSSEC计划在整个互联网基础设施上加以部署,先从运营.com和.net顶级域名的根服务器开始,然后在下移到缓存个别网站内容的服务器上去。
Windows 7时代的网络安全管理
推荐活动:
统一计算在“云”端,思科技术达人“秀”英雄会
推荐活动:
构建云时代数据中心 网络世界第五届数据中心大会
推荐活动:
统一计算在“云”端,思科技术达人“秀”英雄会
推荐活动:
构建云时代数据中心 网络世界第五届数据中心大会

 

【CNW.com.cn专稿】VeriSign最近报告称,其正在研发中的互联网根服务器及顶级域名服务器的DNS安全扩展(DNSSEC)项目进展顺利。

VeriSign DNS研究部副总裁Matt Larson说,按计划将推出的DNSSEC这一新的互联网标准网络欺诈攻击,允许网站利用数字签名和公共密钥加密手段验证其域名及相应IP地址的有效性。

DNSSEC计划在整个互联网基础设施上加以部署,先从运营.com和.net顶级域名的根服务器开始,然后在下移到缓存个别网站内容的服务器上去。

一旦获得广泛部署,DNSSEC将能有效防范缓存投毒攻击,也就是在缓存中,来自合法网站的流量会被重定向至一个未知网站经营者的仿冒网站上去。安全研究人员Dan Kaminsky曾于2008年披露说,缓存投毒攻击是由于DNS的重大缺陷而引发的。

“按照开发计划,根服务器支持DNSSEC的日期是7月1日,我们会继续以此日期为目标而努力,”Larson说。“我们已经在13台根服务器的2台上进行了部署,目前一切正常。根据我们的评测和分析,目前美有任何迹象表明这一正式部署日期会出现延迟……一切进程都很正常。”

Larson说,VeriSign将在二季度在美国各大学所使用的.edu域名中支持DNSSEC,四季度在运营商和服务商所使用的.net域名中支持DNSSEC。

而在互联网使用最广(超过8000万个注册域名)的.com域名中,对DNSSEC的支持将在2011年一季度实现,VeriSign说。

VeriSign实行DNSSEC部署的唯一困难是,有些传统硬件和软件,例如防火墙和负载均衡等不能处理DNSSEC所发送的较大尺度的数据包。

“DNSSEC流量和我们过去所用的DNS流量多少有些差异,也就是数据包要大一些,”Larson说,有些网络设备的默认配置把DNS数据包限制为512B,而DNSSEC数据包最大可到4KB。

为了帮助互联网业部署DNSSEC,VeriSign已经开放了设在美国杜勒斯的互操作实验室,网络软硬件厂商可以在这里测试他们的产品,以确保他们的产品可支持DNSSEC。思科和Juniper等一批厂商已经在该实验室测试各自的产品。

“我们不会去认证厂商的设备,也不打算做性能测试,”Larson说。“我们的互操作实验室对任何人免费开放,只要你想看看自己的设备是否能适应DNSSEC环境,都可以到此来做测试。”

VeriSign称,它之所以开放互操作实验室,就是为了推广DNSSEC。

“我们在签署根区和.com及.net域名上都在大量投入,但仅凭一己之力对于DNSSEC的部署来说是远远不够的,”Larson说。“而开放互操作实验室的想法就是要让互联网上的所有人认识到,DNSSEC即将到来。”

其他被纳入DNSSEC部署进程的顶级域名还包括美国政府的.gov、公众利益注册机构(PIR)的.org域名和由各国运营的国家代码顶级域名等。

目前,首家宣布将公开试用DNSSEC数字签署与解析服务的美国运营商是Comcast。(波波编译)