DNS安全擴展(DNSSEC)在企業(yè)的部署進展緩慢，但專家表示，DNSSEC比現(xiàn)有的證書頒發(fā)機構(CA)系統(tǒng)更好，企業(yè)對部署這種技術的遲疑可能是因為對其目的的誤解。

DNSSEC協(xié)議可幫助域名系統(tǒng)(DNS)數(shù)據(jù)中的數(shù)字簽名來驗證數(shù)據(jù)的來源以及檢查其在互聯(lián)網(wǎng)傳輸過程中的完整性。同時，基于DNS的域名實體認證(DANE)會通過使用DNSSEC來綁定傳輸層安全(TLS)到DNS，以確保證書來自特定的證書頒發(fā)機構。

《The Internet for Dummies》作者兼安全專家John Levine稱，DNSSEC同時具有短期和長期的優(yōu)勢。

“主要的優(yōu)點是，它可防止壞人偽造你的域名，讓他們無法將自己的網(wǎng)站偽造成你的網(wǎng)站，”Levine表示，“更長遠的優(yōu)勢是，你可以使用DNS來安全地發(fā)布各種新信息(最明顯的是TLS證書)，而不是讓它們由第三方簽名。”

然而，大家對于這個協(xié)議心生恐懼，因為據(jù)稱它會方便政府監(jiān)控數(shù)據(jù)。該理論認為，由于證書會存儲在DNS中，如果政府控制重要的頂級域名(TLD)，他們也將會控制用于驗證這些證書的TLS加密的密鑰。

Internet Society協(xié)會高級內(nèi)容戰(zhàn)略家Dan York稱，這種認為DNSSEC方便政府監(jiān)控的說法是一個謬論，因為這從來不是該協(xié)議的意圖。

“DNSSEC只做一件事情：保護存儲在DNS中信息的完整性。DNSSEC確保你從DNS獲取的域名信息正是該域名運營商放在DNS的相同信息，”York說道，“它沒有做到的是保護通信的保密性，它沒有加密這些信息，因為這并不是它的工作目標。DNSSEC可以確保你連接到正確的IP地址，但在你的計算機和這些IP地址之前的通信仍然可能受到監(jiān)控。”

York稱，對于政府控制大量域名的說法也不完全正確。

“國家代碼頂級域名(ccTLD)通常由政府控制，這些都是兩個字母的域名，例如.ly和.nl，”York表示，“而大多數(shù)通用頂級域名(gTLD)都是由不同的注冊機構控制，例如.com、.org

以及新的gTLD--.bank、.foo、.photos等，并且，這些注冊機構幾乎都是私營公司，其中大部分是商業(yè)公司。”

雖然很多ccTLD由政府控制，最流行的ccTLD(例如.de和.uk)并不是由德國和英國政府控制，而是由私營公司控制。York稱，對于有些由政府控制的gTLD，用戶應該首先檢查他們是否擔心在這些域名泄露信息，但監(jiān)控并不是政府控制的問題。

“由于ccTLD運營商控制ccTLD的域名注冊，他們當然可以更改你域名的記錄，指向另一組DNS域名服務器，從而將你域名控制器交給另一個DNS運營商(這可能是他們自己)，然后又更改DNS記錄指向另一個網(wǎng)站，”York稱，“DNSSEC在這里并不重要，因為ccTLD運營商可以控制TLD中的記錄。”

根據(jù)Levin表示，這種情況幾乎不可能發(fā)生，因為在信任鏈中有人會注意到異常情況。

“是的，政府會侵入所有地方，但考慮到現(xiàn)在的CA系統(tǒng)已經(jīng)非常糟糕，我們沒有理由相信DNSSEC會更糟，”Levin稱，“此外，DNSSEC很難在不被發(fā)現(xiàn)的情況下受到攻擊，因為人們很認真看待DNS，并且有很多冗余。”

Levin說， DNSSEC也許并不完美，但與證書頒發(fā)機構的問題相比，DNSSEC其實更好。同時，他表示可以理解為什么DNSSEC的部署進展緩慢，因為目前沒有主流Web瀏覽器可以接受使用DNSSEC的TLS。

“它非常復雜，而且工具很糟糕。我的服務器有大約300個DNS區(qū)，雖然我全部在本地簽名，但簽名都會被忽略，除非更高級的DNS區(qū)使用DS(授權簽字人)記錄鏈接到我的密鑰，”Levin稱，“DNSSEC有兩種類別，被稱為NSEC和NSEC3。如果你使用NSEC，別人很容易列舉你的區(qū)，即找出你的DNS區(qū)中所有的域名，這在有時候可能不方便操作。”當使用NSEC時，有關有效域名的信息被添加到針對不存在域名請求的DNS回復中;而在NSEC3中，這些信息會被模糊處理。

Levin稱，即使“使用被動DNS，別人都可以非常接近你的DNS，而你無法阻止這一點。NSEC3解決了列舉問題，但它讓DNSSEC變得比現(xiàn)在更加復雜，讓更新DNS區(qū)等操作變得更加困難。”

York也承認，DNSSEC協(xié)議也有問題，包括新增的操作要求、更大的DNS數(shù)據(jù)包、缺乏保密性，并可能使系統(tǒng)更容易攻破。不過，York稱，最后一個問題可以通過很多安全技術來應對。

“從歷史上來看，DNS服務器經(jīng)?？吹骄W(wǎng)絡管理員設置的條條框框，然后通常忽視它們，因為可能影響其運行。添加DNSSEC需要對DNS服務器進行一些額外的操作，”York稱，“由于簽名，DNSSEC會讓DNS數(shù)據(jù)包變得更大，這可能影響網(wǎng)絡流量，而緩解這個問題的一種方法是使用具有較小密鑰的簽名。”

York表示，目前互聯(lián)網(wǎng)工程任務組的DPRIVE工作組正在開展工作以保護計算機和DNS服務器之間的連接，以確保試圖監(jiān)控你流量的人不會看到通過本地網(wǎng)絡發(fā)送的數(shù)據(jù)包中的DNS查詢。同時，針對DNSSEC很多常見的問題的解決方案正在開發(fā)中。

“DNSSEC協(xié)議的優(yōu)點在于，它從一開始就被設計為可以不斷發(fā)展，”York稱，“與安全問題和安全算法一樣，該協(xié)議也可以不斷進化。”