DNSSEC pievieno kritisku drošību vietai, kur internetam patiesībā nav neviena. Domēna vārda sistēma (DNS) darbojas labi, taču nevienā procesa posmā netiek veikta verifikācija, kas uzbrucējiem ļauj piekļūt urbumiem.
Pašreizējais lietu stāvoklis
Mēs esam paskaidrojuši, kā agrāk darbojas DNS. Īsāk sakot, ikreiz, kad izveidojat savienojumu ar domēna vārdu, piemēram, "google.com" vai "howtogeek.com", jūsu dators pieslēdzas sava DNS serverim un meklē attiecīgo domēna vārda attiecīgo IP adresi. Jūsu dators pēc tam savienojas ar šo IP adresi.
Svarīgi, ka DNS meklēšanā nav iesaistīts verifikācijas process. Jūsu dators prasa DNS serveri ar tīmekļa vietnei saistīto adresi, DNS serveris atbild ar IP adresi, un jūsu dators saka "labi!", Un ar prieku savieno to ar šo vietni. Jūsu dators neapstājas, lai pārbaudītu, vai tā ir derīga atbilde.
HTTPS šifrēšana nodrošina noteiktu pārbaudi. Piemēram, pieņemsim, ka mēģināt izveidot savienojumu ar jūsu bankas vietni, un adreses joslā tiek parādīta HTTPS un atslēgas ikona. Jūs zināt, ka sertifikācijas iestāde ir apstiprinājusi, ka vietne pieder jūsu bankai.
Jūsu bankai nav iespējams pateikt: "Šīs ir mūsu vietnes likumīgās IP adreses."
Kā DNSSEC palīdzēs
DNS meklēšana faktiski notiek vairākos posmos. Piemēram, kad jūsu dators pieprasa www.howtogeek.com, jūsu dators veic šo meklēšanu vairākos posmos:
- Tas vispirms prasa "saknes zonas direktoriju", kur to var atrast .com.
- Pēc tam tā uzdod.com direktoriju, kur to var atrast howtogeek.com.
- Tad tā jautā howtogeek.com, kur to var atrast www.howtogeek.com.
DNSSEC ietver "root parakstu". Kad dators iet, lai vaicātu saknes zonai, kur var atrast.com, tā varēs pārbaudīt saknes zonas parakstīšanas atslēgu un apstiprināt, ka tā ir likumīga saknes zona ar patiesu informāciju. Tad saknes zona sniegs informāciju par parakstīšanas taustiņu vai. Com un tās atrašanās vietu, ļaujot datoram sazināties ar.com direktoriju un nodrošināt tā likumību. Katalogs.com nodrošina parakstīšanas atslēgu un informāciju par howtogeek.com, ļaujot tai sazināties ar howtogeek.com un pārbaudīt, vai esat izveidojis savienojumu ar reālo portālu waytourist.com, kā to apstiprina zonas, kas atrodas virs tā.
Kad DNSSEC ir pilnībā izlaists, jūsu dators varēs apstiprināt, ka DNS atbildes ir likumīgas un patiesas, bet pašlaik nav iespējams zināt, kuri no tiem ir viltoti un kuri ir reāli.
Ko SOPA būtu izdarījis
Tātad, kā viss no šī režīma izskaidroja Stop Online pirātisma likumu, ko sauc par SOPA? Nu, ja jūs sekojāt SOPA, jūs sapratīsit, ka to ir uzrakstījuši cilvēki, kuri nesaprot Internetu, tādēļ tas dažādos veidos "pārtrauktu internetu". Tas ir viens no tiem.
Atcerieties, ka DNSSEC ļauj domēna vārda īpašniekiem parakstīt savus DNS ierakstus. Tātad, piemēram, thepiratebay.se var izmantot DNSSEC, lai norādītu ar to saistītās IP adreses. Kad dators veic DNS meklēšanu - neatkarīgi no tā, vai tas ir google.com vai thepiratebay.se - DNSSEC ļautu datoram noteikt, ka tā saņem pareizo atbildi, kā apstiprina domēna vārda īpašnieki. DNSSEC ir tikai protokols; tā nemēģina diskriminēt "labas" un "sliktas" vietnes.
SOPA būtu pieprasījis, lai interneta pakalpojumu sniedzēji novirzītu DNS meklēšanu uz "sliktām" vietnēm. Piemēram, ja interneta pakalpojumu sniedzēja abonenti mēģināja piekļūt thepiratebay.se, ISP DNS serveri atgriezīs citas tīmekļa vietnes adresi, kas informētu viņus, ka Pirate Bay bija bloķēta.
Izmantojot DNSSEC, šāda novirzīšana nebūtu atšķirama no vīriešiem-vidējā uzbrukuma, kuru DNSSEC mērķis bija novērst. Interneta pakalpojumu sniedzējiem, kas izvieto DNSSEC, būtu jāatbild ar Pirate Bay faktisko adresi, tādējādi pārkāpjot SOPA.Lai varētu uzņemt SOPA, DNSSEC vajadzētu būt tajā ievietot lielu caurumu, kas ļautu interneta pakalpojumu sniedzējiem un valdībām pārorientēt domēna nosaukumu DNS pieprasījumus bez domēna vārda īpašnieku atļaujas. Tas būtu grūti (ja ne neiespējami) droši paveikt, iespējams, atverot uzbrucēju jaunus drošības caurumus.
Par laimi SOPA ir miris un, cerams, neatgriezīsies. DNSSEC pašlaik tiek izmantots, nodrošinot ilgstošu problēmu novēršanu.