網(wǎng)絡(luò)安全專家正對(duì)是否應(yīng)該取消一項(xiàng)保護(hù)互聯(lián)網(wǎng)域名系統(tǒng)的協(xié)議展開爭(zhēng)論。

人們?cè)?994年已經(jīng)開發(fā)了DNSSec，但直到2008年，這一技術(shù)都沒有受到認(rèn)真對(duì)待。當(dāng)時(shí)，一個(gè)域名系統(tǒng)中的bug使得攻擊者可以通過“DNS緩存投毒”模仿任何服務(wù)器，不管是網(wǎng)頁(yè)服務(wù)器還是Email主機(jī)。到今天，DNSSec存在了12年，而直到最近五年它才開始被用來保護(hù)互聯(lián)網(wǎng)的根基。網(wǎng)絡(luò)專家現(xiàn)在正在質(zhì)疑，DNSSEC是否就不應(yīng)該存在，特別是在考慮到使用它的大量成本時(shí)。

在年初發(fā)布的一篇博文上，Mastasano安全公司的創(chuàng)始人表示，DNSSEC弱小、不安全、不完整、沒有存在必要、昂貴，而且是“由政府控制的”。市面上已經(jīng)有了更好的DNS安全方案。這些方案基于瀏覽器，反向?qū)τ蛎?wù)器施加影響。他建議，公司應(yīng)該“支持這些協(xié)議，讓DNSSEC代碼遠(yuǎn)離你的服務(wù)器”。

這樣的言論是對(duì)一個(gè)發(fā)布時(shí)聲稱是“未來安全的基石”的協(xié)議的強(qiáng)烈反擊。DNSSEC技術(shù)的主要支持者、第一個(gè)應(yīng)用該協(xié)議并提供服務(wù)的公司：瑞典的.se頂級(jí)域名運(yùn)營(yíng)商認(rèn)為有必要對(duì)本月圍繞DNSSec價(jià)值的爭(zhēng)論發(fā)表一些回應(yīng)。

“我們收到了很多有關(guān)那篇博文的消息，我個(gè)人認(rèn)為應(yīng)當(dāng)回應(yīng)一下這些批評(píng)言論”，.se域名的安全主管表示。但她在文章中用到的最激烈言辭也只是“DNSSec有成為一個(gè)好的補(bǔ)充的潛力”。

[[131861]]

.se安全主管Anne-Marie Eklund-Löwinder

到底發(fā)生了什么，又是為什么呢?DNSSec旨在確保眾所周知并不安全的域名系統(tǒng)可以保證一定程度的權(quán)威性，也即確保你的通信對(duì)象并不是偽裝的服務(wù)器。該協(xié)議是很久以前開發(fā)的，但因?yàn)樗陨淼募夹g(shù)復(fù)雜性和實(shí)現(xiàn)成本，直到一位研究人員發(fā)現(xiàn)了DNS的一個(gè)嚴(yán)重bug，它才突然變得流行起來。

這次的爭(zhēng)論起源于Mastasano公司創(chuàng)始人在博文中提到的一個(gè)觀點(diǎn)：DNSSec只是讓攻擊變得稍微難以實(shí)現(xiàn)了一點(diǎn)，它并不解決根本問題。而且如果公司的安全系統(tǒng)比較健全，比如使用數(shù)字證書，DNSSec并不會(huì)讓整個(gè)體系更安全一點(diǎn)，而只是成為無用的累贅。

而且，DNSSec使用老舊的加密方案，可能成為政府監(jiān)視行為危險(xiǎn)的切入點(diǎn)。博文中提到的解決方案很簡(jiǎn)單，就是拋棄DNSSec，專注于一些能夠提供更好安全性的系統(tǒng)，比如“key pinning”，可以拋棄對(duì)中心機(jī)構(gòu)的依賴，只通過獨(dú)立域名運(yùn)營(yíng)商進(jìn)行通信。

中心機(jī)構(gòu)并不能解決互聯(lián)網(wǎng)上的信任問題，它們就是信用問題本身”。

在斯諾登曝光的NSA大規(guī)模監(jiān)視項(xiàng)目文件中提到了很多花費(fèi)大量資源來破壞安全設(shè)施的項(xiàng)目。博文中同樣認(rèn)為，DNSSec可能會(huì)被用于監(jiān)視項(xiàng)目，截取全球網(wǎng)絡(luò)數(shù)據(jù)。

DNSSev和包含它的技術(shù)DANE(DNS-based Authentication of Named Entities，基于DNS的名稱實(shí)體驗(yàn)證)可能使人們被迫將手中的數(shù)據(jù)交給任何擁有頂級(jí)域名服務(wù)器的政府，因?yàn)檫@些政府具有權(quán)限。

.se域名安全主管將政府監(jiān)視行為這類說法稱為“妄想狂的偶然結(jié)論，而并不是基于相關(guān)可信分析得出的”。她想要概括DNSSec的好處。

她認(rèn)為，盡管DNSSEC并不能徹底解決安全問題，它確實(shí)讓入侵變得更加困難了，這個(gè)目的本身就值得提倡。

爭(zhēng)議雙方的共同點(diǎn)在于，都同意證書授權(quán)中心(CA)并不能提供合適的信用和安全等級(jí)。近年來有一系列針對(duì)證書的攻擊，其中不乏直接對(duì)大型CA發(fā)起的攻擊。因此有必要思考改善現(xiàn)狀的方案，這是傳統(tǒng)安全領(lǐng)域內(nèi)的問題。各大CA在被攻擊者成功入侵之后進(jìn)行的損害控制各不相同，有些受影響的CA在被攻擊后對(duì)外發(fā)布信息緩慢，也不恰當(dāng)。它們所表現(xiàn)出的是缺乏危機(jī)管理的意識(shí)。

瑞典方面認(rèn)為該問題的解決策略是通過DANE使用DNSSec檢驗(yàn)證書本身是否被入侵。Mastasano方面則認(rèn)為不應(yīng)該使用DANE，而是通過獨(dú)立個(gè)人或其它域名運(yùn)營(yíng)商提供額外的驗(yàn)證等級(jí)。

瑞典方面同樣指出，使用DNSSec本身不需要添加其它代碼，添加代碼有可能也是添加了未來的漏洞。

Mastasano方面則認(rèn)為，不論如何DNSSec都離完美相去甚遠(yuǎn)。有一個(gè)記錄DNSSec失敗的網(wǎng)頁(yè)，上面的案例非常多。

互聯(lián)網(wǎng)究竟會(huì)走向哪個(gè)方向呢，是DNSSec還是相反的路?現(xiàn)在下判斷為時(shí)尚早，但考慮到最近的一千多臺(tái)新型頂級(jí)域名都由于和域名監(jiān)督方ICANN的協(xié)議，強(qiáng)制性裝上了DNSSec，可以想見的是，盡管DNSSec可能會(huì)有很多問題，支持它的輿論聲音在接下來的幾年里會(huì)比較大。