DNSSEC: czy Polska prześcignie sąsiadów?
Pierwszą strefą adresową zabezpieczoną za pomocą mechanizmu DNSSEC była szwedzka .se. Dwa lata temu takich stref istniało pięć, a obecnie jest ich 67. W zeszłym roku DNSSEC zastosowano na wszystkich serwerach strefy root. Na uaktualnianej stale przez korporację ICANN liście krajowych domen najwyższego poziomu podpisanych z wykorzystaniem kluczy kryptograficznych brakuje tylko dwóch spośród dziesięciu największych na świecie – chińskiej .cn i niemieckiej .de.
Pierwszą strefą adresową zabezpieczoną za pomocą mechanizmu DNSSEC była szwedzka .se. Dwa lata temu takich stref istniało pięć, a obecnie jest ich 67. W zeszłym roku DNSSEC zastosowano na wszystkich serwerach strefy root. Na uaktualnianej stale przez korporację ICANN liście krajowych domen najwyższego poziomu podpisanych z wykorzystaniem kluczy kryptograficznych brakuje tylko dwóch spośród dziesięciu największych na świecie – chińskiej .cn i niemieckiej .de.
Niewykluczone, że polska strefa .pl pojawi się w zestawieniu ICANN wcześniej niż domeny TLD obydwu gigantów. DENIC – zarządca strefy .de – poinformował, że w Niemczech zakończono już fazę testów DNSSEC, a krajowa strefa zostanie podpisana 31 mają bieżącego roku. Tymczasem NASK, odpowiedzialny za domenę .pl, zakomunikował przed kilkoma miesiącami: "Wdrożenie protokołu DNSSEC dla strefy .pl przewidziane jest na przełomie 201. i 2011 roku". Gdyby udało się zrealizować te plany, to jako jedyni w tej części Europy wyprzedziliby nas Czesi: strefa .cz jest już podpisana.
Mechanizm DNSSEC (Domain Name System Security Extensions) chroni odpowiedzi DNS za pomocą kluczy kryptograficznych w taki sposób, by odbiorca mógł sprawdzić zarówno ich autentyczność, jak wiarygodność nadawcy. Realizacja obu tych zadań nie jest możliwa w tradycyjnym systemie DNS, bazującym na protokole UDP.
Dzięki szyfrowaniu i uwierzytelnianiu komunikatów DNS ich odbiorcy są chronieni przed atakami typu cache poisoning. Te ostatnie pozwalają (przykładowo) skierować internautę na sfałszowaną stronę WWW banku i wyłudzić jego identyfikator wraz z hasłem. Oczywiście DNSSEC nic nie wskóra przeciwko phishingowi, w przypadku którego użytkownicy mniej lub bardziej świadomie przekazują napastnikom poufne dane.
Wprowadzenie mechanizmu zabezpieczającego napotkało opór już podczas próby wdrożenia protokołu DNSSEC w strefie root: wiele wątpliwości budził fakt, że strażnikiem kluczy dla jej trzynastu serwerów mianowano firmę VeriSign. Ostatecznie udało się zawrzeć kompromis: klucz główny podzielono między siedmiu operatorów.
wydanie internetowe www.heise-online.pl
