Новости
03.06.2009
Зона .org переходит на технологию DNSSEC
Зона .org переходит на технологию DNSSEC
Public Interest Registry, администратор доменной зоны .org, сегодня
начал процедуру криптографической подписи доменов org. Развертывание
системы DNSSEC должно повысить безопасность в данной зоне, а также в
определенной степени защитить пользователей и владельцев адресов от
действий злоумышленников. Таким образом, зона .org стала первой из
международных доменных зон, организовавшей поддержку безопасного
протокола работы с доменной информацией.
В июля прошлого года внедрение DNSSEC в зоне .org проходило в тестовом режиме.
В основе действие протокола DNSSEC лежит метод цифровой подписи, который обеспечивает неприкосновенность данных в системе DNS.
Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования. В процессе защищенного делегирования домена сервер генерирует пару ключей. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи зоны после каждого изменения.
В случае использования DNSSEC, получив доступ к файлам с описанием домена на первичном или вторичном серверах DNS или во время передачи данных между серверами, злоумышленник не сможет внести изменения, так как не является владельцем закрытого ключа — все несанкционированные изменения файлов будут отброшены как недостоверные. Так же ни к чему не приведет попытка злоумышленника послать динамический запрос на обновление данных о домене от имени другой системы.
"DNSSEC - это необходимое инфраструктурное обновление. Технология криптографической защиты доменных записей уже вышла из стадии теоретической возможности, превратившись в объективную практическую необходимость, - говорит Алекса Раад, исполнительный директор Public Interest Registry. - Процедура промышленного подписания доменов очень важна для нас, это своего рода символический шаг - крупная доменная зона теперь работает по DNSSEC, это может стать сигналом для других регистраторов".
В Public Interest Registry говорят, что около года тестировали новую систему в сотрудничестве с рядом крупных хостеров, таких как VeriSign, NeuStar and Afilias, а также разработчиков программного обеспечения для работы с DNS NLnet Labs, Secure64 и InfoBlox. По итогам тестирования было решено при криптографической подписи использовать не стандартный алгоритм NSEC, а его последнюю версию NSEC3, обладающую дополнительными степенями защиты.
Также в Public Interest Registry разработаны соответствующие процедуры трансфера доменных зон, в частности как перенести домен к провайдеру не поддерживающему DNSSEC. По прогнозам Public Interest Registry, полное развертывание DNSSEC будет завершено в 2010 году. "В этом году нам вряд ли удастся завершить, так как предстоит обменяться данными с очень многими провайдерами, их доменные системы работают пока как обычно", - говорит Раад.
Ранее Правительство США приняло решение о том, что все домены в зоне .gov также перейдут на DNSSEC. Компания Verisign намерена к 2011 году внедрить поддержку DNSSEC в зонах .com и .net.
Источник: CyberSecurity.ru
В июля прошлого года внедрение DNSSEC в зоне .org проходило в тестовом режиме.
В основе действие протокола DNSSEC лежит метод цифровой подписи, который обеспечивает неприкосновенность данных в системе DNS.
Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования. В процессе защищенного делегирования домена сервер генерирует пару ключей. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи зоны после каждого изменения.
В случае использования DNSSEC, получив доступ к файлам с описанием домена на первичном или вторичном серверах DNS или во время передачи данных между серверами, злоумышленник не сможет внести изменения, так как не является владельцем закрытого ключа — все несанкционированные изменения файлов будут отброшены как недостоверные. Так же ни к чему не приведет попытка злоумышленника послать динамический запрос на обновление данных о домене от имени другой системы.
"DNSSEC - это необходимое инфраструктурное обновление. Технология криптографической защиты доменных записей уже вышла из стадии теоретической возможности, превратившись в объективную практическую необходимость, - говорит Алекса Раад, исполнительный директор Public Interest Registry. - Процедура промышленного подписания доменов очень важна для нас, это своего рода символический шаг - крупная доменная зона теперь работает по DNSSEC, это может стать сигналом для других регистраторов".
В Public Interest Registry говорят, что около года тестировали новую систему в сотрудничестве с рядом крупных хостеров, таких как VeriSign, NeuStar and Afilias, а также разработчиков программного обеспечения для работы с DNS NLnet Labs, Secure64 и InfoBlox. По итогам тестирования было решено при криптографической подписи использовать не стандартный алгоритм NSEC, а его последнюю версию NSEC3, обладающую дополнительными степенями защиты.
Также в Public Interest Registry разработаны соответствующие процедуры трансфера доменных зон, в частности как перенести домен к провайдеру не поддерживающему DNSSEC. По прогнозам Public Interest Registry, полное развертывание DNSSEC будет завершено в 2010 году. "В этом году нам вряд ли удастся завершить, так как предстоит обменяться данными с очень многими провайдерами, их доменные системы работают пока как обычно", - говорит Раад.
Ранее Правительство США приняло решение о том, что все домены в зоне .gov также перейдут на DNSSEC. Компания Verisign намерена к 2011 году внедрить поддержку DNSSEC в зонах .com и .net.
Источник: CyberSecurity.ru