A DNSSEC-nek most jött el az ideje
Az új irányzat egyfajta pálfordulásként jelentkezik: a DNSSEC történelmének elmúlt 14 évében a protokoll csak küszködött a minél szélesebb körű elfogadtatásért, mivel kritikusai szerint szükségszerűtlen lenne tovább növelni a DNS-szolgáltatások teljesítésének összetettségét. A tavalyi biztonsági rés felfedezését követően azonban úgy tűnik, a rendszer számára a DNSSEC adhatja az igazán biztonságos hitelesítési technológiát. Az új megoldás alkalmazásának kulcsa annak a ténynek a felismerésében rejlik, hogy a DNS-rendszert olyan időkben fejlesztették ki, amikor a web még sokkal „barátságosabb” közeg volt, a kiberbűnözés fogalma pedig gyakorlatilag nem is létezett.
Alexa Raad, a Public Interest Registry vezérigazgatója a Technology Review-nak nyilatkozva azt mondta: valakinek el kell kezdenie az új protokoll alkalmazását. Régebben a doménnevek mögött álló szervezetek azért nem tettek lépéseket a DNSSEC bevezetésére, mert vagy hitelességi bizonyítványokat kellett volna küldeniük olyan szervereknek, amelyek nem foglalkoztak azok értelmezésével, vagy éppen fordítva: olyan igazolásokat vártak a szerverektől, amelyek nem voltak ott megtalálhatóak. A Public Interest Registry már jóval a DNS-rendszer tárgyalt biztonsági résének felfedezése előtt mintegy példaként bevezette a protokollt, reménykedve szisztémájuk mások által történő elfogadásában. Raad gondolatmenete szerint „az utóbbi két évben a DNSSEC bevezetése körüli viták a »Szükségünk van-e rá? Vannak-e egyéb technológiák? Mennyire életképes?« kérdések köré csoportosultak. Úgy vélem, a vita lényege mára teljesen eltávolodott ezektől a felvetésektől. Mindannyian tudjuk, hogy a DNS-rendszer valójában nem működik megfelelően. Az egyedüli megoldás a DNSSEC bevezetése. Egy kérdésünk maradt: hogyan alkalmazzuk?”
Paul Vixie, a DNS-üzenetek feldolgozására használatos BIND szoftvert jegyző Internet Systems Consortium elnöke szerint a .gov és .org végződésű domének végre piacot teremthetnek a DNSSEC-szolgáltatások számára. „Most, hogy mások is megkezdték a DNSSEC implementációját, egyre többen akarnak majd részt venni az üzletben, és DNSSEC-rendszerű megoldásokat szolgáltatni” – mondta.
Ram Mohan, az internetes infrastrukturális megoldásokkal foglalkozó Afilas cég alelnökének szerint a DNSSEC egyfajta „bizalmi láncolatot” készül létrehozni. Sok helyen kell majd üzembe helyezni a protokollt ahhoz, hogy a láncolat megszakadás nélkül érjen a felhasználótól egészen a weboldalig. Egy DNSSEC-et használó .com vagy .org domén esetében például minden ezeket a doméneket használó weboldal képes lehet a protokollt üzembe helyezni, amely a láncolat egyik fontos kapcsolódási pontját jelenti. „Nagyon itt az ideje, hogy biztonságosabbá tegyük a DNS-rendszert. A DNS-forgalom épsége egyre jobban megkérdőjeleződik az adathalászat, a botnetek és hasonló káros tartalmak megjelenésével. Tehetünk egy konkrét dolgot, amely már bizonyította, hogy képes felszámolni a problémát” – jelentette ki.
