Общественный регистратор доменных имен Public Interest Registry объявил вчера
о введении системы криптографической защиты доменных имен верхнего уровня .org,
основанной на стандарте безопасности DNSSEC. Стандарт DNSSEC позволяет
устанавливать подлинность доменных имен веб-сайтов и соответствующих им
IP-адресов при помощи цифровых подписей и шифрования с открытым ключом.
В данный момент DNSSEC считается одним из лучших способов предотвратить
использование уязвимостей
DNS, включая баг, обнаруженный Дэном Камински (используя эту ошибку,
злоумышленник имеет возможность перенаправить трафик с подлинного веб-сайта на
поддельный и завладеть данными пользователей).
По словам исполнительного директора Public Interest Registry Алексы Раад,
доменная зона .org, насчитывающая 7,5 миллионов имен, станет крупнейшим доменом,
использующим стандарт DNSSEC.
В конце июня начнется тестовое внедрение DNSSEC, а в декабре Public Interest
Registry планирует предложить ее использование участникам DNSSEC Industry
Coalition, в состав которой входят крупнейшие регистраторы доменных имен и
поставщики программного обеспечения для DNS-серверов.
Столь глобальное нововведение коснется огромного числа компаний, поэтому
Public Interest Registry разработала для бизнеса ряд рекомендаций. Основной
совет - использование нового алгоритма NSEC3 вместо устаревшего NSEC, который не
обеспечивает должного уровня безопасности. Помимо этого, необходимо будет
разработать соответствующие технологические процедуры, связанные с переносом
доменов из реестра в реестр для осуществления поддержки DNSSEC.
Со вчерашнего дня началось тестирование DNSSEC при участии нескольких
регистраторов с использованием тестовых и реальных имен доменной зоны .org,
после чего география поддержки стандарта будет постепенно расширяться, а полный
переход на него завершится в 2010 году.
