網(wǎng)絡安全專家正對是否應該取消一項保護互聯(lián)網(wǎng)域名系統(tǒng)的協(xié)議展開爭論。

人們在1994年已經(jīng)開發(fā)了DNSSec，但直到2008年，這一技術都沒有受到認真對待。當時，一個域名系統(tǒng)中的bug使得攻擊者可以通過“DNS緩存投毒”模仿任何服務器，不管是網(wǎng)頁服務器還是Email主機。到今天，DNSSec存在了12年，而直到最近五年它才開始被用來保護互聯(lián)網(wǎng)的根基。網(wǎng)絡專家現(xiàn)在正在質疑，DNSSEC是否就不應該存在，特別是在考慮到使用它的大量成本時。

在年初發(fā)布的一篇博文上，Mastasano安全公司的創(chuàng)始人表示，DNSSEC弱小、不安全、不完整、沒有存在必要、昂貴，而且是“由政府控制的”。市面上已經(jīng)有了更好的DNS安全方案。這些方案基于瀏覽器，反向對域名服務器施加影響。他建議，公司應該“支持這些協(xié)議，讓DNSSEC代碼遠離你的服務器”。

這樣的言論是對一個發(fā)布時聲稱是“未來安全的基石”的協(xié)議的強烈反擊。DNSSEC技術的主要支持者、第一個應用該協(xié)議并提供服務的公司：瑞典的.se頂級域名運營商認為有必要對本月圍繞DNSSec價值的爭論發(fā)表一些回應。

“我們收到了很多有關那篇博文的消息，我個人認為應當回應一下這些批評言論”，.se域名的安全主管表示。但她在文章中用到的最激烈言辭也只是“DNSSec有成為一個好的補充的潛力”。

[[131861]]

.se安全主管Anne-Marie Eklund-Löwinder

到底發(fā)生了什么，又是為什么呢?DNSSec旨在確保眾所周知并不安全的域名系統(tǒng)可以保證一定程度的權威性，也即確保你的通信對象并不是偽裝的服務器。該協(xié)議是很久以前開發(fā)的，但因為它自身的技術復雜性和實現(xiàn)成本，直到一位研究人員發(fā)現(xiàn)了DNS的一個嚴重bug，它才突然變得流行起來。

這次的爭論起源于Mastasano公司創(chuàng)始人在博文中提到的一個觀點：DNSSec只是讓攻擊變得稍微難以實現(xiàn)了一點，它并不解決根本問題。而且如果公司的安全系統(tǒng)比較健全，比如使用數(shù)字證書，DNSSec并不會讓整個體系更安全一點，而只是成為無用的累贅。

而且，DNSSec使用老舊的加密方案，可能成為政府監(jiān)視行為危險的切入點。博文中提到的解決方案很簡單，就是拋棄DNSSec，專注于一些能夠提供更好安全性的系統(tǒng)，比如“key pinning”，可以拋棄對中心機構的依賴，只通過獨立域名運營商進行通信。

中心機構并不能解決互聯(lián)網(wǎng)上的信任問題，它們就是信用問題本身”。

在斯諾登曝光的NSA大規(guī)模監(jiān)視項目文件中提到了很多花費大量資源來破壞安全設施的項目。博文中同樣認為，DNSSec可能會被用于監(jiān)視項目，截取全球網(wǎng)絡數(shù)據(jù)。

DNSSev和包含它的技術DANE(DNS-based Authentication of Named Entities，基于DNS的名稱實體驗證)可能使人們被迫將手中的數(shù)據(jù)交給任何擁有頂級域名服務器的政府，因為這些政府具有權限。

.se域名安全主管將政府監(jiān)視行為這類說法稱為“妄想狂的偶然結論，而并不是基于相關可信分析得出的”。她想要概括DNSSec的好處。

她認為，盡管DNSSEC并不能徹底解決安全問題，它確實讓入侵變得更加困難了，這個目的本身就值得提倡。

爭議雙方的共同點在于，都同意證書授權中心(CA)并不能提供合適的信用和安全等級。近年來有一系列針對證書的攻擊，其中不乏直接對大型CA發(fā)起的攻擊。因此有必要思考改善現(xiàn)狀的方案，這是傳統(tǒng)安全領域內的問題。各大CA在被攻擊者成功入侵之后進行的損害控制各不相同，有些受影響的CA在被攻擊后對外發(fā)布信息緩慢，也不恰當。它們所表現(xiàn)出的是缺乏危機管理的意識。

瑞典方面認為該問題的解決策略是通過DANE使用DNSSec檢驗證書本身是否被入侵。Mastasano方面則認為不應該使用DANE，而是通過獨立個人或其它域名運營商提供額外的驗證等級。

瑞典方面同樣指出，使用DNSSec本身不需要添加其它代碼，添加代碼有可能也是添加了未來的漏洞。

Mastasano方面則認為，不論如何DNSSec都離完美相去甚遠。有一個記錄DNSSec失敗的網(wǎng)頁，上面的案例非常多。

互聯(lián)網(wǎng)究竟會走向哪個方向呢，是DNSSec還是相反的路?現(xiàn)在下判斷為時尚早，但考慮到最近的一千多臺新型頂級域名都由于和域名監(jiān)督方ICANN的協(xié)議，強制性裝上了DNSSec，可以想見的是，盡管DNSSec可能會有很多問題，支持它的輿論聲音在接下來的幾年里會比較大。