Внедрение системы DNSSEC в доменной зоне .org шло в тестовом режиме с июля прошлого года. Теперь регистратор зоны компания The Public Interest Registry объявила, что к июню этого года система начнет действовать в рабочем режиме для всех зарегистрированных доменов.
Зона .org станет первой международной зоной, перешедшей на поддержку безопасного протокола работы с доменной информацией.
Тестирование системы DNSSEC проводилось совместно с другими регистраторами, такими, как VeriSign (доменные зоны .com и .net), NeuStar и Afilias. Также в тестировании участвовали разработчики программного обеспечения для работы с DNS из компаний NLnet Labs, InfoBlox и Secure64. По результатам испытаний было принято решение использовать не стандартный алгоритм NSEC, а его современную версию NSEC3, обеспечивающую более эффективную защиту.
Система DNSSEC предназначена для защиты пользователей и владельцев доменных имен от действий хакеров. Действие протокола DNSSEC основано на использовании метода цифровой подписи. Данная функция позволяет зашифровать всю информацию о защищенном домене. В ходе защищенного делегирования домена сервер генерирует пару ключей. Данные о ключах хранятся на первичном DNS-сервере. Данные ключи используются для подтверждения после каждого внесения изменений в информацию о домене.
Как отмечается на сайте cybersecurity.ru, даже если злоумышленник получит доступ к файлам с описанием домена на первичном или вторичном серверах DNS, он не сможет их изменить. Ведь он не является владельцем ключа. Все несанкционированные изменения система игнорирует, считая их недостоверными. Также вредители не смогут изменить файл с помощью динамического запроса на обновление, присланного от имени сторонней системы.
Как заявил исполнительный директор компании The Public Interest Registry Алекс Раад, переход на процедуру криптографической защиты доменных записей – необходимое инфраструктурное обновление. Причем уже разработаны необходимые процедуры трансфера доменных зон. Перенесение домена к провайдеру, не поддерживающему DNSSEC, не вызовет никаких затруднений. Он полагает также, что переход доменной зоны .org на работу по протоколу DNSSEC может стать примером для других регистраторов. О намерении внедрить систему DNSSEC уже заявило правительство США (для доменов в зоне .gov). Компания Verisign, регистратор зон .com и .net собирается внедрить поддержку DNSSEC к 2011 году.
