Корпорацией ICANN было
принято решение о переключении доменной зоны общего пользования .ORG со старого протокола на новый. Новый
протокол является абсолютно безопасным и носит название DNSSEC. С новым протоколом будут
устранены все недоработки, которые присутствовали в старом DNS. До этого момента самым популярным видом атак на
DNS было «отравление» кэширующего сервера (Cache Poison Attack), которое
приводит к тому, что в кэше сервера провайдера или локальной сети компании
сохраняется искаженная информация, которая и предоставляется пользователям в
ответ на их запросы. Кроме того, искажение информации возможно при
взаимодействии непосредственно с резолвером клиента.
Высокая безопасность DNSSEC происходит за счёт цифровых подписей,
применяемых в их работе, которые дают возможность компьютеру после передачи
запроса на определение адреса сопоставить подлинность полученных им сведений. Весь
обмен между первичным и вторичным сервером полностью шифруется, и без знания
ключа шифрования данные не могут быть искажены. В случае же изменения
информации на вторичном сервере она будет отброшена как недостоверная,
поскольку цифровая подпись окажется неправильной.
О небезупречности DNS было
известно уже давно. Это и повлекло за собой предпосылки к созданию нового
протокола DNSSEC,
который способен решить ряд проблем, связанных с безопасностью. На разработку
протокола ушло 11 долгих лет. Первая версия протокола содержала множество
неточностей и недоработок, что оттягивало выход нового протокола на
неопределённый срок.
На сегодняшний день, помимо зоны .ORG уже работают несколько
национальных доменных зон. Корпорация ICANN надеется, что в ближайшее время все
gTLD и ccTLD прейдут на DNSSEC.
|