IT2web

Системному администратору Windows Server

Главная --> DNS --> Обзор DNSSec - Последняя миля доверия

Обзор DNSSec - Последняя миля доверия

Article Index
Обзор DNSSec
Последняя миля доверия
Подписал и спишь спокойно?
DNSSEC: проблема яйца и курицы?
All Pages

Последняя миля доверия

Механизм работы DNSSEC – это тема отдельной статьи. Без лишних подробностей обозначим лишь самые существенные отличия безопасного протокола. Это позволит понять фундаментальные проблемы, которые возникают с его внедрением во всем мире, и в России в частности.

Вообще, классическая система доменных имен – это настоящий клондайк для мошенников, потому что ее основополагающий принцип – доверие. Все участники цепочки доверяют друг другу, поэтому подменить адрес, отправить пользователя на фишинговый сайт – оказывается проще простого. Сервер, который обрабатывает запрос, доверчив, как маленький ребенок.

DNSSEC, которому довелось родиться в эпоху «недоброго Интернета», вовсе не стремился подорвать основы системы доменных имен. Наоборот, он пытается реанимировать принцип доверия, но с одним полезным дополнением: доверяй, но проверяй. В основе лежит метод цифровой подписи ответов на запрос DNS lookup, поэтому у получателя информации всегда есть возможность проверить ее корректность и целостность. Таким образом, выстраивается новая цепочка доверия, которая защищена от мошенников, ведь это уже не слепая вера в человеческую природу, а последовательность проверок, идущая от корневой зоны DNS.

На этом технические подробности заканчиваются и начинаются организационные сложности. В июле 2010 года Международная корпорация ICANN объявила о подписании корневой зоны, вслед за этим настала очередь доменов верхнего уровня. Дальнейшую поддержку протокола должны обеспечить регистраторы, а также хостеры и ISP. Пользователи оказываются, увы, последним звеном в этой длинной цепочке, которая строится сверху вниз. Даже если поддержку DNSSEC обеспечат все вышестоящие звенья, для рядового юзера счастье может не наступить. За работу с новым протоколом отвечает специальное системное ПО (резолверы), которое еще не вполне прониклось идеей безопасного DNS.