DNSSEC добавя критична сигурност към място, където интернет изобщо няма. Системата за имена на домейни (DNS) работи добре, но няма никаква проверка по време на процеса, което оставя отвори отворени за нападателите.
Настоящото състояние на въпросите
Обяснихме как работи DNS в миналото. С две думи, когато се свържете с име на домейн като "google.com" или "howtogeek.com", вашият компютър се свързва с DNS сървъра си и търси свързания IP адрес за това име на домейн. След това вашият компютър се свързва с този IP адрес.
Важно е, че процесът на потвърждаване не е включен в DNS търсене. Вашият компютър пита своя DNS сървър за адреса, свързан с уебсайт, DNS сървърът отговаря с IP адрес, а компютърът ви казва "добре!" И щастливо се свързва с този уебсайт. Компютърът ви не спира, за да провери дали това е валиден отговор.
Криптирането на HTTPS осигурява известна проверка. Да приемем например, че се опитате да се свържете с уебсайта на банката си и виждате HTTPS и иконата за заключване в адресната лента. Знаете, че сертифициращ орган е потвърдил, че този уебсайт принадлежи на вашата банка.
Вашата банка няма начин да каже "Това са легитимните IP адреси за уебсайта ни".
Как DNSSEC ще помогне
DNS търсене действително се случва на няколко етапа. Например, когато компютърът ви поиска www.howtogeek.com, вашият компютър извършва това търсене на няколко етапа:
- Първо пита "директорията на зоната на root", където може да намери .com.
- Тогава пита директорията.com, където може да намери howtogeek.com.
- Тогава пита как може да намери къде може да намери www.howtogeek.com.
DNSSEC включва "подписване на корен". Когато компютърът ви задава коренната зона, където може да намери.com, той ще може да провери кода за подписване на коренната зона и да потвърди, че това е легитимната коренна зона с истинска информация. След това коренната зона ще предостави информация за клавиша за подпис или.com и нейното местоположение, позволявайки на компютъра ви да се свърже с директорията.com и да се увери, че е легитимна. Директорията.com ще предостави подписващия ключ и информация за howtogeek.com, като му позволи да се свърже с howtogeek.com и да провери дали сте свързани с реалния howtogeek.com, както се потвърждава от зоните над него.
Когато DNSSEC бъде напълно разработен, вашият компютър ще може да потвърди DNS реакциите са легитимни и верни, докато в момента няма начин да разбере кои са фалшиви и кои са истински.
Какво щеше да бъде направено от SOPA
И така, как действаше законът за спиране на онлайн пиратството, по-известен като SOPA? Е, ако сте проследили SOPA, разбирате, че е написана от хора, които не са разбрали интернет, така че ще "разбият интернет" по различни начини. Това е един от тях.
Не забравяйте, че DNSSEC позволява на собствениците на домейни да подписват своите DNS записи. Така например, thepiratebay.se може да използва DNSSEC, за да определи IP адресите, с които е свързана. Когато компютърът ви направи DNS търсене - независимо дали е за google.com или thepiratebay.se - DNSSEC ще позволи на компютъра да определи, че получава правилния отговор, който е валидиран от собствениците на имена на домейни. DNSSEC е само протокол; не се опитва да прави разлика между "добри" и "лоши" уеб сайтове.
SOPA би изисквало доставчиците на интернет услуги да пренасочват DNS търсения за "лоши" уеб сайтове. Например, ако абонатите на доставчика на интернет услуги се опитаха да получат достъп до piratebay.se, DNS сървърите на ISP ще върнат адреса на друг уебсайт, което ще ги информира, че пиратският залив е бил блокиран.
При DNSSEC такова пренасочване би било неразличимо от атака "човек-в-средата", който DNSSEC е предназначен да предотврати. Доставчиците на интернет услуги, които разполагат с DNSSEC, би трябвало да отговарят на действителния адрес на пиратския залив и по този начин биха нарушили SOPA.За да се приспособи към SOPA, DNSSEC ще трябва да има голям отвор, който да позволява на доставчиците на интернет услуги и правителствата да пренасочват DNS заявки за имена на домейни без разрешението на собствениците на имена на домейни. Това би било трудно (ако не и невъзможно) да се направи по сигурен начин, вероятно да се отворят нови отвори за сигурност за нападателите.
За щастие SOPA е мъртъв и се надяваме, че няма да се върне. DNSSEC понастоящем се внедрява и предоставя отдавна отложено решение на този проблем.