为互联网域名系统拧紧安全螺钉的梦想在周三又向现实迈进了一步,这一天,互联网的政策制定者们在北弗吉尼亚州举行了一个简单而又 隆重的仪式,生成并储存了第一个将用于互联网根域安全的密钥。
这次的密钥发布仪式是互联网根域DNS安全扩展(DNSSEC)研发进程的最终步骤之一。DNSSEC是互联网防范欺诈性攻击的一个新的标准,允许 Web网站利用数字签名和公共密钥验证域名及对应的IP地址。
“密钥发布仪式将生成主根密钥,该密钥可为所有的其他密钥提供签名,”VeriSign的CTO Ken Silva解释道。VeriSign运营着13台互联网根服务器中的两台,主要提供.com和.net顶级域名的注册服务。“在实际推出DNSSEC之前 一个月首先生成一个有法律效力的密钥十分必要,这样我们就可以对其进行测试了。”
DNSSEC计划在整个互联网基础设施架构中进行部署,从位于DNS层级架构顶端的根服务器开始,先到运行.com、.net以及其他顶级域名的 服 务器,然后再到为诸多网站提供缓存内容服务的服务器。
一旦被广泛部署,DNSSEC将能有效地防止缓存投毒攻击,后者是将互联网流量从合法网站重定向到没有网站运营者或用户不知道的仿冒网站。缓存投 毒 攻击是DNS中一个会产生严重后果的漏洞,由安全研究人员Dan Kaminsky在2008年公开披露。
周三的密钥发布仪式由ICANN主办,地点是在弗吉尼亚州卡尔佩帕市的一个安全的数据中心内。7月中还将在洛杉矶再举办一次类似的密钥发布仪式。
密钥发布仪式主要是向互联网工程设计社区说明如何安全地为根域生成和储存密钥的步骤。与会者包括ICANN工作人员和世界各地的DNS专家。密钥 生 成和储存的整个流程都是经过公证的。
“来自世界各地的专家都将参与为DNS顶级域名创建密钥的流程,”互联网安全专家兼Shinkuro公司的CEO Steve Croker说。“他们是目击证人,同时监督整个流程是在公平和严格合规的情形下进行的。”
这两次密钥发布仪式皆属于大规模部署DNSSEC之前的最后步骤,第二次发布仪式计划于7月15日举行。
而从现在到7月15日,根服务器运营商们将对DNSSEC进行附加测试。
“我们将尽可能多地测试我们可能想到的各种情形,”Silva说。“我们将会对密钥长度、密钥倒转、密钥过期以及所有其他可能出现的问题进行系列 测 试。我们要测试系统的响应,看看我们的监控和探测能否捕捉到所有这些情况。”
【编辑推荐】
