DNS安全协议是劳民伤财的事儿吗?

互联网安全专家正在讨论是否应当撤销保护互联网命名系统的密钥协议。DNSSEC开发于1994年但直到2008年才被重视起来,当时域名系统软件中出现一个漏洞导致任何人都可通过“缓存投毒”的方式模仿任何来自网站或邮件托管的服务器。

在使用了10年的DNSSEC之后,互联网专家现在在质疑是否应该使用DNSSEC,尤其是考虑到困难程度及高成本因素。

在今年年初的一篇博文中,Matasano Security创始人Thomas Ptacek在协议中指出,DNSSEC力量薄弱、不安全、不完整、没有必要、昂贵并且“受政府控制”。

他表示,“目前已经出现了更好的DNS安全提案。它们始于浏览器并且会去最根本的区域;支持这些提案并且不会把DNSSEC代码从服务器中抹去。”

这就是由之前曾被称作“未来安全基石”的协议所带来的影响。作为它最大的支持者之一、第一个执行该协议并提供DNSSEC服务的域名即由斯诺登所有的.se顶级域名,感到有义务就DNSSEC的价值做出回应。

“我收到了关于这篇文章的很多问题,所以我觉得有必要做一些回应,”.SE的安全负责人Anne-Marie Eklund-Löwinder写道。但即便给予了最强大的支持,她的话语不过是,“DNNSEC有潜力成为很好的补充。”

那么,到底发生了什么?又是为什么呢?

DNSSEC旨在确保这个臭名昭著的不安全域名系统能够保证某种程度的授权,也就是说要确保跟你通信的服务器名副其实。

这个协议是在很久以前开发的,但鉴于它的技术复杂度以及高昂的推介成本,并未受到重视。转机是在安全研究人员Dan Kaminsky发现了一个危险的漏洞之后,从此它开始流行起来。

Ptacek表示,问题在于DNSSEC只不过让攻击难度稍微增大,但并未解决问题,而且如果安全是通过数字证书等手段实现的,那么安全度会增高但它也会让任何DNSSEC补充都毫无价值可言。


外,DNSSEC使用的是过时的加密方法,且会为政府窥探提供危险的切入点。Ptacek表示,解决方法就是甩掉DNSSEC并且将注意力集中在更好的安
全系统如“键销(key
pinning)”上,后者会从一个中央机构中提取信任并且将其留在单个域操作符中。“中央机构无法解决互联网信任问题。中央机构就是互联网信任问题本
身。”Ptacek表示。

鉴于斯诺登披露了NSA大规模在线监控活动,其中包括采取许多神通广大、坚决有力的措施来对抗安全性能。Ptacek同时担心DNSSEC可能会被用于监控及拦截全球互联网流量。

DNSSEC、通过DNSSEC验证数字证书的措施、及DANE(基于DNS的命名实体认证)能够让人们在不知情的情况下将数据交给有权获取特别顶级域名的政府。

不同意见

但Eklund-Löwinder也列出了DNSSEC的好处。

她表示,虽然DNSSEC并未阻止安全问题,但它让事情的实施变得更为困难,而这本身就是一个不错的目标。

Ptacek
与Eklund-Löwinder在某一点上达成了一致:证书机构并没有提供恰当的信任及安全水平。“几年来有很多针对证书以及多个证书机构的严重攻
击,”她写道,“因此,我们必须要想如何解决存在的问题。我们谈得是传统安全。被成功攻击的证书机构损害控制各不相同。一些受影响的证书机构在将信息传递
给客户及外界的时候进展缓慢且不当。这些证明了缺乏风险管理的事实。

Eklund-Löwinder认为通过DANE项目使用DNSSEC来验证证书的解决方案本身并未被攻陷。Ptacek反对利用DANE,并认为额外的验证应该来自个人用户以及/或者域名运营商。

Eklund-Löwinder还指出,DNSSEC并不需要额外的代码,因为代码本身可能会在未来带来安全漏洞。


而,Ptacek表示,DNSSEC远非完美。有一个专门网页在追踪DNSSEC的失败及中断问题。清单顶端描述的一种情况是,在2009年,整个.se
的瑞典域名系统消失了一个小时,删除了90万个域名,而这是由DNSSEC更新中出现的一个错误导致的。除此之外还有多个其他例子。


么,互联网社区会朝哪个方向前进呢?会走近DNSSEC还是会远离?现在下结论还为时过早,不过对于每个执行DNSSEC(与域名监督机构ICANN签署
的合同内容之一)的所有1000多个新型通用顶级域名来说,如果DNSSEC产生重大问题,在未来的几年内它们似乎会被大规模公开。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。