DNSSEC协议缘何在企业部署进展缓慢?

off999 2025-03-06 18:26 26 浏览 0 评论

DNS安全扩展(DNSSEC)在企业的部署进展缓慢，但专家表示，DNSSEC比现有的证书颁发机构(CA)系统更好，企业对部署这种技术的迟疑可能是因为对其目的的误解。

DNSSEC协议可帮助域名系统(DNS)数据中的数字签名来验证数据的来源以及检查其在互联网传输过程中的完整性。同时，基于DNS的域名实体认证(DANE)会通过使用DNSSEC来绑定传输层安全(TLS)到DNS，以确保证书来自特定的证书颁发机构。

《The Internet for Dummies》作者兼安全专家John Levine称，DNSSEC同时具有短期和长期的优势。

“主要的优点是，它可防止坏人伪造你的域名，让他们无法将自己的网站伪造成你的网站，”Levine表示，“更长远的优势是，你可以使用DNS来安全地发布各种新信息(最明显的是TLS证书)，而不是让它们由第三方签名。”

然而，大家对于这个协议心生恐惧，因为据称它会方便政府监控数据。该理论认为，由于证书会存储在DNS中，如果政府控制重要的顶级域名(TLD)，他们也将会控制用于验证这些证书的TLS加密的密钥。

Internet Society协会高级内容战略家Dan York称，这种认为DNSSEC方便政府监控的说法是一个谬论，因为这从来不是该协议的意图。

“DNSSEC只做一件事情：保护存储在DNS中信息的完整性。DNSSEC确保你从DNS获取的域名信息正是该域名运营商放在DNS的相同信息，”York说道，“它没有做到的是保护通信的保密性，它没有加密这些信息，因为这并不是它的工作目标。DNSSEC可以确保你连接到正确的IP地址，但在你的计算机和这些IP地址之前的通信仍然可能受到监控。”

York称，对于政府控制大量域名的说法也不完全正确。

“国家代码顶级域名(ccTLD)通常由政府控制，这些都是两个字母的域名，例如.ly和.nl，”York表示，“而大多数通用顶级域名(gTLD)都是由不同的注册机构控制，例如.com、.org

以及新的gTLD--.bank、.foo、.photos等，并且，这些注册机构几乎都是私营公司，其中大部分是商业公司。”

虽然很多ccTLD由政府控制，最流行的ccTLD(例如.de和.uk)并不是由德国和英国政府控制，而是由私营公司控制。York称，对于有些由政府控制的gTLD，用户应该首先检查他们是否担心在这些域名泄露信息，但监控并不是政府控制的问题。

“由于ccTLD运营商控制ccTLD的域名注册，他们当然可以更改你域名的记录，指向另一组DNS域名服务器，从而将你域名控制器交给另一个DNS运营商(这可能是他们自己)，然后又更改DNS记录指向另一个网站，”York称，“DNSSEC在这里并不重要，因为ccTLD运营商可以控制TLD中的记录。”

根据Levin表示，这种情况几乎不可能发生，因为在信任链中有人会注意到异常情况。

“是的，政府会侵入所有地方，但考虑到现在的CA系统已经非常糟糕，我们没有理由相信DNSSEC会更糟，”Levin称，“此外，DNSSEC很难在不被发现的情况下受到攻击，因为人们很认真看待DNS，并且有很多冗余。”

Levin说， DNSSEC也许并不完美，但与证书颁发机构的问题相比，DNSSEC其实更好。同时，他表示可以理解为什么DNSSEC的部署进展缓慢，因为目前没有主流Web浏览器可以接受使用DNSSEC的TLS。

“它非常复杂，而且工具很糟糕。我的服务器有大约300个DNS区，虽然我全部在本地签名，但签名都会被忽略，除非更高级的DNS区使用DS(授权签字人)记录链接到我的密钥，”Levin称，“DNSSEC有两种类别，被称为NSEC和NSEC3。如果你使用NSEC，别人很容易列举你的区，即找出你的DNS区中所有的域名，这在有时候可能不方便操作。”当使用NSEC时，有关有效域名的信息被添加到针对不存在域名请求的DNS回复中;而在NSEC3中，这些信息会被模糊处理。

Levin称，即使“使用被动DNS，别人都可以非常接近你的DNS，而你无法阻止这一点。NSEC3解决了列举问题，但它让DNSSEC变得比现在更加复杂，让更新DNS区等操作变得更加困难。”

York也承认，DNSSEC协议也有问题，包括新增的操作要求、更大的DNS数据包、缺乏保密性，并可能使系统更容易攻破。不过，York称，最后一个问题可以通过很多安全技术来应对。

“从历史上来看，DNS服务器经常看到网络管理员设置的条条框框，然后通常忽视它们，因为可能影响其运行。添加DNSSEC需要对DNS服务器进行一些额外的操作，”York称，“由于签名，DNSSEC会让DNS数据包变得更大，这可能影响网络流量，而缓解这个问题的一种方法是使用具有较小密钥的签名。”

York表示，目前互联网工程任务组的DPRIVE工作组正在开展工作以保护计算机和DNS服务器之间的连接，以确保试图监控你流量的人不会看到通过本地网络发送的数据包中的DNS查询。同时，针对DNSSEC很多常见的问题的解决方案正在开发中。

“DNSSEC协议的优点在于，它从一开始就被设计为可以不断发展，”York称，“与安全问题和安全算法一样，该协议也可以不断进化。”