En ny webb av förtroende

En central del av Internet som hjälper miljontals datorsystem att hitta varandra får äntligen en välbehövlig uppgradering. Domännamnssystemet (DNS) fungerar ungefär som Internets telefonbok, och översätter webbadresserna som användare skriver in i en webbläsare till de numeriska adresserna som används för att identifiera servrarna som är värd för den begärda webbplatsen.





Nyligen har detta 30-åriga system börjat visa sin ålder.

Förra året tävlade ett team av högprofilerade säkerhetsforskare för att reparera ett kritiskt fel i DNS som gjorde det möjligt att kapa legitim kommunikation, vilket potentiellt ledde intet ont anande webbsurfare till skadliga webbsidor. Plåstret som teamet kom med minskade den omedelbara faran men var inte menad att vara en permanent lösning.

Många experter söker nu efter en långsiktig lösning DNSSEC , ett protokoll som verifierar DNS-meddelanden med digitala signaturer. De Allmänna intresseregistret , som hanterar .org-domänen, implementerar DNSSEC över alla webbadresser som slutar med detta suffix och planerar att slutföra den första fasen av processen i början av året. Den amerikanska regeringen har förbundit sig att slå på DNSSEC för .gov likaså, och de nybildade DNSSEC Industry Coalition driver på för att få protokollet antaget ännu mer allmänt.



Det här är något av en vändning. Under de 14 år som gått sedan DNSSEC skapades först, kämpade protokollet för att få ett brett antagande eftersom det ansågs öka komplexiteten i att implementera DNS i onödan. Nyckeln till DNS-felet som upptäcktes förra året är att protokollet designades under en mer förtroendefull tid och inte bryr sig om att autentisera information. Dan Kaminsky , chef för penetrationstestning vid IOActive , ett säkerhetsföretag baserat i Seattle, insåg att om en angripare kunde ta sig in i en DNS-kommunikation så kunde han omdirigera webbtrafik på nästan vilket sätt som helst. Funktioner har lagts till i DNS för att minska hotet om att meddelanden ska kapas, men DNSSEC lägger till riktig autentisering till systemet för första gången.

Alexa rådet , VD för Public Interest Registry, noterar att någon måste vara den första att implementera det nya protokollet. Innan nu, säger hon, har de organisationer som ansvarar för domännamn inte flyttat för att integrera DNSSEC eftersom de antingen skulle skicka ut autentiseringsuppgifter till servrar som inte lyssnade efter dem, eller så skulle de lyssna efter referenser som inte skulle var där. Raad säger att Public Interest Registry började integrera DNSSEC långt innan Kaminskys fel tillkännagavs, i hopp om att uppmuntra antagandet av protokollet genom att sätta ett exempel. Avslöjandena av Kaminskys brist bidrog helt enkelt till att intensifiera debatten, säger hon. Under de senaste två åren har mycket av debatten kring DNSSEC kretsat kring: 'Behöver vi det?' Finns det andra tekniker? Hur livskraftigt är det?’ Jag tycker att debatten helt har flyttat ifrån det. Vi förstår alla att DNS faktiskt är trasig. Den enda lösningen för det är faktiskt DNSSEC. Debatten är nu, 'Hur distribuerar vi?'

DNSSEC handlar om att skapa en kedja av förtroende, tillägger Ram Mohan , CTO för Afilias , som har arbetat för att hjälpa registret för allmänintresse att hantera sin utplacering. Det finns många ställen där DNSSEC måste vara påslaget för att förtroendekedjan ska flöda obruten från användaren till en webbplats. När en toppdomän (som .org eller .com) väl implementerar DNSSEC, kan vilken webbplats som helst under den domänen välja att även aktivera DNSSEC, vilket är en viktig länk i kedjan. Eftersom internetleverantörer som t.ex Comcast har börjat stödja DNSSEC, säger Mohan, det börjar bli möjligt för vissa webbplatsbesök att till stor del falla under DNSSEC:s skydd.



Paul Vixie, ordförande för Internet Systems Consortium , som upprätthåller BIND, den programvara som oftast används för att bearbeta DNS-meddelanden, förväntar sig övergången mot DNSSEC till snöboll. Med .gov och .org undertecknade finns det äntligen en marknad för DNSSEC-teknik och tjänster, säger han. Nu när några andra implementerar DNSSEC kommer många andra att vilja vara i branschen med att tillhandahålla DNSSEC-lösningar, och det kommer i sin tur att göra det möjligt för många staketskötare att äntligen klättra ner och gå med oss.

Kaminsky själv var initialt neutral till DNSSEC som en möjlig lösning på felet som han upptäckte med DNS. Han ser nu DNSSEC som en bra lösning, men varnar för att arbete fortfarande måste göras för att hjälpa det att skala upp. Viktigast, säger han: andra rotdomäner, som är kärnan i alla DNS-transaktioner, behöver använda DNSSEC. Även om DNS aldrig designades för att vara i centrum för autentisering på Internet, så är det, och det är dags att vi börjar behandla det på det sättet, tillägger Kaminsky.

Mohan säger att han hoppas att fler domäner kommer att implementera DNSSEC snart. Det är på tiden att DNS blir säkrare, säger han. Integriteten för DNS-trafik börjar ifrågasättas med tillkomsten av nätfiske och botnät och sånt. Här är en konkret sak som kan göras som bevisligen eliminerar ett tydligt problem.



Dölj