По данным совместных исследований, проведённых компаниями InfoBlox и Measurement Factory, на сегоднешний день только около 0,02% доменов работают с протоколам безопасности DNSSEC. Из них 23% используют просроченные подписи.
“Результаты нашего исследования в этом году показывают, насколько компании спокойно относятся к возможности взлома DNS-инфраструктуры,” – говорит руководитель компании Infoblox Крикет Лю. “Но для успешного развития глобальной сетевой инфраструктуры, реализация протокола безопасности DNSSEC чрезвычайно необходимо. так как он позволяет автоматически идентифицировать DNS запрошенных ресурсов и ликвидируя возможность подмены DNS”, – добавил он.
Напомним, что в основе протокола DNSSEC лежит метод цифровой подписи ответов на запросы. У администратора доменной зоны, поддерживающей данную технологию, есть закрытый ключ, который с помощью криптографических алгоритмов позволяет сгенерировать цифровую подпись. Клиенты же, в свою очередь, получают открытый ключ, соответствующий закрытому. Клиентский ключ дает возможность проверять валидность цифровой подписи.
На данный момент только 13% доменных зон уже работают с DNSSEC. В численном выражении это 37 доменных зон из 283 активных доменов высшего уровня. В планах распространить её действие и на остальные зоны, в том числе и на .ru, .su и недавно появившуюся .рф. Ориентировочно это произойдет в конце 2011 года. В январе 2010 года началось развертывание нового протокола в 13 корневых серверах, и на сегодняшний день этот процесс завершен. Пока что процедура подписания корневых зон носит тестовый характер.
К тому же, процесс внедрения DNSSEC требует немалых финансовых вложений. Поддержка этого протокола требует замены программного и аппаратного обеспечения как на серверной, так и на клиентской сторонах. Цифра, в которую обойдется переход на DNSSEC в России, может составить $ 100 млн.
Автор: Андрей Зелинский
IT-журналист
