DNSSEC – криптографическая защита доменной зоны .org

Некоммерческая организация Public Interest Registry, созданная для управления доменной зоной .org, собирается внедрить новый стандарт безопасности – DNSSEC, который обеспечит надежную криптографическую защиту домена верхнего уровня .org. Таким способом можно предотвратить атаки с использованием спуфинга, поскольку DNSSEC предоставляет возможность устанавливать подлинность доменных имен веб-сайтов и соответствующих IP при помощи цифровых подписей и открытого шифрования.

В настоящее время DNSSEC считается одним из лучших способов сократить число уязвимостей DNS, в том числе предотвратить появление так называемой ошибки Каминского, обнаруженной специалистом в области компьютерной безопасности Дэном Каминским (Dan Kaminsky). Используя эту уязвимость, злоумышленник может перенаправить трафик с подлинного веб-сайта на поддельный и завладеть пользовательскими данными, такими как банковские реквизиты и пароли.

По словам Алексы Раад (Alexa Raad), исполнительного директора Public Interest Registry, стандарт DNSSEC уже давно превратился из теоретической возможности в практическую необходимость. В зоне .org зарегистрировано 7,5 миллионов имен, и она станет крупнейшим доменом, использующим эту технологию.

В конце июня начнется тестовое внедрение DNSSEC, а в декабре Public Interest Registry планирует предложить ее использование членам Промышленного объединения DNSSEC, в которое входят крупнейшие регистраторы доменных имен и производители программного обеспечения для DNS-серверов.

Поскольку решения такого уровня обязательно должны затрагивать производителей оборудования и поставщиков онлайн-услуг, некоторые рекомендации Public Interest Registry обращены к крупным IT-компаниям. В числе этих рекомендаций – использование нового алгоритма NSEC3 вместо устаревшего NSEC, который не обеспечивает должного уровня безопасности. Участникам Объединения также будет предложено разработать соответствующие технологические процедуры, такие как переносы доменов из одного реестра в другой для осуществления поддержки DNSSEC.

Сегодня Public Interest Registry собирается объявить о начале тестирования стандарта DNSSEC при участии нескольких регистраторов, сначала на специально созданных, а затем – на настоящих доменных именах. Через несколько месяцев планируется начать распространение поддержки DNSSEC на все домены .org, а окончательный переход на новый стандарт состоится не раньше 2010 года.