Благодаря широкому внедрению расширений DNSSEC основными поставщиками веб-хостинга 2015 год может стать тем временем, когда мы окажемся на гребне волны преимуществ, обеспечиваемых расширениями безопасности системы доменных имен. Расширения DNSSEC добавляют к существующим записями DNS криптографические записи (также известные как цифровые подписи), что позволяет обеспечить возможность видеть все изменения в процессе разрешения того или иного доменного имени. Такая криптографическая защита называется подписыванием.
Корневая зона DNS была подписана в 2010 году [1]. Вследствие недавнего активного развертывания DNSSEC теперь подписаны более 78% TLD[2], и все больше конечных пользователей проверяют правильность [3] выполнения запросов DNS: текущие измерения свидетельствуют о том, что такую проверку выполняют 12% пользователей по всему миру, 25% — в США и 62% — в Швеции [4]. Последние данные важны и вселяют оптимизм: когда конечные пользователи проверяют подписи записей DNS, они эффективно защищают себя от внесения несанкционированных изменений и таких атак, как, к примеру, отравление кэша [5].
Инфраструктура интернета уверено движется к полной поддержке DNSSEC. Однако чтобы расширения DNSSEC работали эффективно, необходимо подписывать также и доменные имена. Это трудновыполнимая задача — на сегодняшний день подписано всего приблизительно 2–3% доменных имен. Такой медленный темп может в скором времени измениться. Поставщик веб-контента и услуг хостинга DNS компания CloudFlare [6] объявила о намерении развернуть расширения DNSSEC на своей платформе. Ожидаемый в результате такого решения Cloudflare ощутимый рост количества подписанных веб-сайтов с расширениями DNSSEC должен вызвать также скачок численности конечных пользователей, поставщиков контента и разработчиков инновационных решений[7], ощутивших пользу от DNSSEC. Больше пользователей будут пользоваться преимуществами проверки разрешения имен, а конкуренция может заставить других основных поставщиков также перейти на использование DNSSEC.
Как нам поддержать этот импульс?
Преимущества расширений DNSSEC будут полностью реализованы только в случае их широкого развертывания. Поэтому для нас важно продолжать работу по информированию общества о расширениях DNSSEC в качестве одного из шагов для защиты интернета. Как представитель сообщества интернета я рад сообщить, что до этого момента мы успешно справлялись с этой задачей. Давайте не сбавлять обороты.
Д-р Ричард Лэмб (Richard Lamb)
Старший менеджер программы, DNSSEC,
ICANN
[1] Подписание корневой зоны является результатом совместной работы сообщества и наших партнеров по управлению корневой зоной.http://www.root-dnssec.org/
[2] Статистические данные DNSSEC TLD. https://rick.eng.br/dnssecstat/
[3] Когда доменное имя подписано, поставщик услуг интернета, предприятие или персональный инструмент разрешения запросов DNS проверяет ответы на запросы DNS (происходит проверка на предмет неожиданных изменений, которые могут указывать на атаки). Поэтому непрерывный рост числа пользователей, применяющих инструменты разрешения запросов системы доменных имен с поддержкой DNSSEC, крайне важен.
[4] Статистика средства разрешения запросов DNS с проверкой DNSSEC. http://gronggrong.rand.apnic.net/cgi-bin/worldmap
[5] Отравление кэша http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
[6] https://blog.cloudflare.com/help-us-test-our-dnssec-implementation/
[7] Благодаря DNSSEC система DNS становится глобальной защищенной базой данных, хранящей больше данных, чем стандартные записи DNS. Это воодушевляет тех, кто ратует за усиление безопасности интернета и интернет вещей. Например, стандарт DANE http://www.internetsociety.org/deploy360/resources/dane/