域名分配与管理机构ICANN近日宣布将推出基于域名系统安全扩展系统(DNS Security Extensions system (DNSSec))的域名管理服务,这套系统可允许域名所有者自行验证域名的合法性。这项技术的推出据称是WWW互联网技术推出之后的一项最重大功能更新。当数据在互联网传输时,DNSSEC通过验证域名系统(DNS)数据来源的真实性并核实其完整性,从而为加强互联网基础设施提供可能。DNSSEC通过采用公共密钥加密法,对DNS数据进行数字签名,进而保护互联网各界免受伪造DNS数据的危害。
数字签名能够确保数据来自于指定的来源,而且在传输过程中未被修改。DNSSEC同样可以证明某个域名不存在,以保护域名系统(DNS)的查询和响应免受伪造危害。这类伪造行为可能会改写指向,将用户引向钓鱼网站,或网址嫁接网站,或是发生“中间人”攻击,截获两个系统间的通信。
自行验证功能能够确保互联网上的网页域名与所有者发布的原始网页始终对应,这样便可防止一些常见的黑客攻击手段。据ICANN组织的主席兼CEO Rod Beckstrom表示,谷歌公司的互联网倡导者Vint Cerf称赞这套新系统是WWW互联网技术推出以来最重要的一项技术更新。
Beckstrom并在最近举办的黑帽2010大会上与成功攻破现有DNS体系的着名黑客 Dan Kaminsky共同举办了一个新闻发布会,以解释这套新系统的变化。
目前.org以及.uk等顶级域名已经开始部署这套安防系统,工作小组并希望这项系统能凭借较低的收费门槛和较高的安全特性快速普及开来。
不过Kaminsky承认DNSSEC系统并非固若金汤,但是使用这套系统之后可以起到抬高黑客发动攻击的技术门槛的作用。