.ORG 域名属于 PIR(Public Interest Registry) 顶级域名(gTLD - generic top level domain),用于非赢利性组织,它也将成为最安全的域名,因为 .ORG 即将采用 DNSSEC (DNS Security Extensions)扩展,这是一个附加在 DNS 上的额外的安全扩展层。
.ORG 域名对 DNS 安全的改进来得正是时候,安全专家 Dan Kaminsky 最近发布了 DNS 系统的一个严重漏洞(请参阅:DNS 漏洞细节被泄露,攻击即将开始,以及DNS 漏洞发现者 Dan Kaminsky 访谈录),而 DNSSEC 可能是该问题的一个最好的长期解决方案。
.ORG's CEO Alexa Raad 告诉 InternetNews.com,DNSSEC 会解决 DNS 的一个非常现实的问题,.ORG 一旦采用该技术就会变得非常安全,尽管还有其它的安全问题,但 DNSSEC 解决了访问绑架问题。
DNSSEC 提供了对 DNS 的签名校验,该机制保证了 DNS 的准确,Kaminsky 发现的 DNS 漏洞中,未经安全防护的 DNS 查询在用户毫不知情的情况下,被绑架到伪造的地址。
DNS 服务商,包括开源 BIND DNS 服务器的主要发起者 ISC,以及微软等,已经对他们的 DNS 架构进行升级以使 DNS 毒药攻击更难发生。而 Kaminsky 以及 ISC 等组织呼吁,DNSSEC 才是解决这个问题的长期有效的方案。
就在 Kaminsky 公开 DNS 漏洞后的几个周, PIR 首先在7月份宣布,他们将在 .ORG 域名体系中采用 DNSSEC。Raad 称,PIR 宣布采用 DNSSEC 并不仅仅因为 Kaminsky 发现的漏洞,事实上,PIR 两年前就已经染指 DNSSEC。
然而,PIR 计划采用 DNSSEC 并不意味着现在的 .ORG 域名已经安全了,事实上,通往 DNSSEC 完整应用的路还长。
Raad 表示,一切进展很顺利,这并不是一个产品的发布,而是一个渐进的过程。我们是第一家实施 DNSSEC 的顶级域名,我们将分几个步骤进行,我们已经和不少有兴趣的 .ORG 注册商谈过,他们当中很多是大的托管商。我们在2009年以后,会进入下一步工作,就是说服更多注册商。
PIR 的 .ORG 技术提供商 Afilias 公司的 CTO Ram Mohan 解释道,Internet 的顶端是那些根级域名服务器,这其中包含 .ORG。在 DNSSEC 机制下,域名所有者首先创建一个签名,提交给注册商,注册商通过安全通道提交给PIR,PIR 会将这个安全签名同 DNS 中的信息结合,接着,在几秒种之内,你的域名就会被验证并传遍全球。
然而将全球的 DNS 分布系统统一实施 DNSSEC 是个挑战。Raad 表示,不过,Kaminsky 漏洞让这个问题较容易得到正视,除此之外,还存在着技术问题,在众多的程序和工具中采用 DNSSEC,测试,并分发到最终用户也不是件容易的事情。
不过,DNSSEC 的采用将是一个渐进的过程,最先会在一些大的注册商那里试验,获得经验,再一步一步向所有注册商推广。
负责 .COM 域名的 VeriSign 也对 DNSSEC 进行了研究,然而 InternetNews.com 在对 VeriSign CTO Ken Silva 的采访中,后者表示,SSL 证书在 DNS 安全方面起着主要的作用。
Mohan 对 SSL 并无异议,但他认为 SSL 和 DNSSEC 解决的并非同一个问题。受 SSL 保护的站点,即使使用的是 EV-SSL 仍会被绑架。他表示,绝大多数用户只是通过链接进入,如果 DNS 信息绑架,用户仍然会进入错误的站点。
SSL 并不能解决绑架问题,它解决的是另外的问题。Mohan 说,从这个意义上说,DNSSEC 是唯一有效与可靠的方法。SSL 是 VeriSign 是收入来源,采用 DNSSEC 并没有利益可获。
在 .ORG 中使用 DNSSEC 并不是处于商业考虑。Raad 说,我们是非赢利性注册商,我们的动机是在比较长的时间内对 Internet 有所帮助。我们希望在将来分享我们的经验,以便让更多的注册商改善他们的 DNS 安全架构。