DNSSEC: czy Polska prześcignie sąsiadów?
09.02.2011 14:46, aktual.: 09.02.2011 15:53
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Pierwszą strefą adresową zabezpieczoną za pomocą mechanizmu DNSSEC była szwedzka .se. Dwa lata temu takich stref istniało pięć, a obecnie jest ich 67. W zeszłym roku DNSSEC zastosowano na wszystkich serwerach strefy root. Na uaktualnianej stale przez korporację ICANN liście krajowych domen najwyższego poziomu podpisanych z wykorzystaniem kluczy kryptograficznych brakuje tylko dwóch spośród dziesięciu największych na świecie – chińskiej .cn i niemieckiej .de.
Pierwszą strefą adresową zabezpieczoną za pomocą mechanizmu DNSSEC była szwedzka .se. Dwa lata temu takich stref istniało pięć, a obecnie jest ich 67. W zeszłym roku DNSSEC zastosowano na wszystkich serwerach strefy root. Na uaktualnianej stale przez korporację ICANN liście krajowych domen najwyższego poziomu podpisanych z wykorzystaniem kluczy kryptograficznych brakuje tylko dwóch spośród dziesięciu największych na świecie – chińskiej .cn i niemieckiej .de.
Niewykluczone, że polska strefa .pl pojawi się w zestawieniu ICANN wcześniej niż domeny TLD obydwu gigantów. DENIC – zarządca strefy .de – poinformował, że w Niemczech zakończono już fazę testów DNSSEC, a krajowa strefa zostanie podpisana 31 mają bieżącego roku. Tymczasem NASK, odpowiedzialny za domenę .pl, zakomunikował przed kilkoma miesiącami: "Wdrożenie protokołu DNSSEC dla strefy .pl przewidziane jest na przełomie 201. i 2011 roku". Gdyby udało się zrealizować te plany, to jako jedyni w tej części Europy wyprzedziliby nas Czesi: strefa .cz jest już podpisana.
Mechanizm DNSSEC (Domain Name System Security Extensions) chroni odpowiedzi DNS za pomocą kluczy kryptograficznych w taki sposób, by odbiorca mógł sprawdzić zarówno ich autentyczność, jak wiarygodność nadawcy. Realizacja obu tych zadań nie jest możliwa w tradycyjnym systemie DNS, bazującym na protokole UDP.
Dzięki szyfrowaniu i uwierzytelnianiu komunikatów DNS ich odbiorcy są chronieni przed atakami typu cache poisoning. Te ostatnie pozwalają (przykładowo) skierować internautę na sfałszowaną stronę WWW banku i wyłudzić jego identyfikator wraz z hasłem. Oczywiście DNSSEC nic nie wskóra przeciwko phishingowi, w przypadku którego użytkownicy mniej lub bardziej świadomie przekazują napastnikom poufne dane.
Wprowadzenie mechanizmu zabezpieczającego napotkało opór już podczas próby wdrożenia protokołu DNSSEC w strefie root: wiele wątpliwości budził fakt, że strażnikiem kluczy dla jej trzynastu serwerów mianowano firmę VeriSign. Ostatecznie udało się zawrzeć kompromis: klucz główny podzielono między siedmiu operatorów.
wydanie internetowe www.heise-online.pl
