威瑞信在.com顶级域名中部署安全扩展技术

实现关键性的DNSSEC里程碑

这一部署工作使得互联网最大域名中的DNS数据免受黑客攻击
 
2011年4月19日，互联网基础设施提供商威瑞信（VeriSign）日前宣布，全球域名注册数量超过9000万、互联网中最大的域名系统.com现在支持DNS安全扩展协议（DNSSEC）。

在.com域中部署DNSSEC表明威瑞信在改善互联网通信完整性及域名系统（DNS）交易安全方面实现了一个关键性的里程碑。这一成绩的取得，源于威瑞信、互联网名称与数字地址分配机构（ICANN）以及众多互联网相关机构多年以来密切审慎的协作，这些机构包括了注册商、互联网服务提供商和硬件软件供应商。

威瑞信公司域名服务高级副总裁兼总经理Pat Kane表示：“通过实现DNSSEC部署中的这一关键性的里程碑，威瑞信与互联网社群在保护DNS数据完整性方面取得了巨大进展。但是，互联网生态系统面临的威胁是非常残酷的，不管这种威胁是针对DNS的，还是针对其它领域的。正因如此，威瑞信不断加大投入，以保证互联网基础设施的安全性和可用性。”

DNSSEC可以帮助关闭DNS内部的已知漏洞，这一漏洞正日益成为黑客和盗号者的目标。安全扩展技术对DNS数据应用数字签名，从而认证数据的来源，并且在数据于互联网中传送时检查其完整性。安全扩展技术可以防止DNS受到中间人攻击，这种攻击可以破坏递归域名服务器上的DNS数据。有了DNSSEC保护以后，针对递归服务器缓存的投毒难度大大提高，因为DNS管理员要对数据进行签名，然后将通过“信任链”验证该DNS数据上的数字签名。

Gartner总监Lawrence Orans表示：“由于.com签名的实现，DNSSEC在解决互联网安全问题中的重要作用已经到达了一个顶点，这是迄今为止DNSSEC历史上最重大的里程碑。但是，还有更多的工作要做，有效部署DNSSEC需要互联网生态系统各方的共同协作。”

在.com部署DNSSEC之前，威瑞信已于2010年12月成功地实现了.net的DNSSEC部署。同年8月，威瑞信在.edu中也实现了DNSSEC部署。2010年7月，威瑞信、ICANN与美国商务部协作实现了DNS根区签名。为了支持和鼓励实现DNSSEC，威瑞信还运营着由威瑞信人员担纲的DNSSEC互通互联实验室，帮助解决方案提供商、互联网服务提供商与其它相关机构，确保互联网通信生态系统为实现DNSSEC做好准备。

威瑞信为注册商提供各种工具，从而降低部署DNSSEC的成本及复杂度。此外，为推动DNSSEC的采用，威瑞信还向注册商提供DNSSEC签名服务，帮助他们在基础设施中采用签名和配置技术，同时降低他们为客户提供DNSSEC支持的管理负担。威瑞信DNSSEC Analyzer是一种iPhone应用程序，能够帮助诊断DNSSEC签名及其区域中所存在的问题。威瑞信网络智能与可用性（NIA）部门还通过将DNSSEC支持集成到其独有的DNS托管服务中，帮助域名拥有者减轻运营签名区域必需的复杂管理。

威瑞信DNSSEC与它的“阿波罗项目”计划相契合，该计划将在2020年之前大幅增强及扩大.com基础架构。为实现这一目标，威瑞信正在扩大及在某些情况下进行基础架构的改进，从而保持.com的运转。威瑞信2020年技术线路图要求把容量较当前的4万亿查询水平提高1,000倍，每天管理4 x 1015个查询。提高后的容量将根据公司的经历及互联网攻击趋势支持正常及峰值的攻击流量。