A DNSSEC kritikus biztonságot nyújt olyan helyre, ahol az internetnek nincs valójában. A domain név rendszer (DNS) jól működik, de a folyamat bármely pontján nincs ellenőrzés, ami nyitva hagyja a támadók számára nyitott lyukakat.
A jelenlegi ügyállapot
Megmagyaráztuk, hogyan működik a DNS a múltban. Dióhéjban, amikor olyan domainnevhez csatlakozik, mint a "google.com" vagy a "howtogeek.com", akkor a számítógép kapcsolatba lép a DNS-kiszolgálójával, és felkeresi a társított IP-címet az adott domain névhez. Ezután a számítógép csatlakozik az adott IP-címhez.
Fontos megjegyezni, hogy nincs DNS-keresési folyamat. A számítógép felkéri a DNS-kiszolgálót a weboldalhoz társított címre, a DNS-kiszolgáló IP-címmel válaszol, és a számítógép azt mondja, hogy "rendben van!", És boldogan csatlakozik ehhez a webhelyhez. A számítógép nem hagyja abba annak ellenőrzését, hogy ez érvényes válasz.
A HTTPS titkosítás bizonyos ellenőrzést nyújt. Tegyük fel például, hogy próbálja meg csatlakozni a bank webhelyéhez, és megjelenik a HTTPS és a lezáró ikon a címsávban. Tudja, hogy egy hitelesítő hatóság ellenőrizte, hogy a webhely a bankjához tartozik-e.
A banknak nincs módja mondani: "Ezek a legitim IP-címek a weboldalunkhoz."
Hogyan segít a DNSSEC
A DNS-keresés több lépésben történik. Például, ha a számítógép a www.howtogeek.com webhelyet kéri, a számítógép több lépésben elvégzi ezt a keresést:
- Először megkéri a "gyökérzóna-könyvtárat", ahol megtalálja .com.
- Ezután megkéri a.com könyvtárat, ahol megtalálja howtogeek.com.
- Ezután megkérdezi, hogy a howtogeek.com hol találja www.howtogeek.com.
A DNSSEC magában foglalja a "gyökér aláírását". Amikor a számítógép megkeresi a gyökérzónát, ahol megtalálja a.com-t, akkor ellenőrizni tudja a gyökér zóna aláíró kulcsát, és megerősítheti, hogy ez a valódi gyökérzónának megfelelő információ. A gyökérzónát ezután tájékoztatja az aláíró kulcsról vagy a.com-ről és annak helyéről, amely lehetővé teszi a számítógép számára, hogy kapcsolatba lépjön a.com könyvtárral, és biztosítsa annak jogszerűségét. A.com könyvtár megadja az aláíró kulcsot és információt a howtogeek.com-nak, amely lehetővé teszi számukra, hogy kapcsolatba lépjen a howtogeek.com-val és ellenőrizze, hogy csatlakozik-e a valódi howtogeek.com oldalhoz, amint azt a fenti zónák megerősítették.
Amikor a DNSSEC teljesen ki van kapcsolva, a számítógép képes lesz arra, hogy megerősítse a DNS-válaszok jogszerűek és igazak, miközben jelenleg nincs mód arra, hogy tudják, melyik hamis és melyik valós.
Milyen SOPA tett volna
Tehát hogyan ment végbe a Stop Online Piracy Act, amelyet SOPA-nak hívnak? Nos, ha követted a SOPA-t, rájössz, hogy olyan emberek írtak, akik nem értették az internetet, így "megtörni az internetet" különböző módon. Ez egyike azoknak.
Ne feledje, hogy a DNSSEC lehetővé teszi a domainnevek tulajdonosainak a DNS-rekordok aláírását. Így például a thepiratebay.se a DNSSEC-t használhatja annak az IP-címnek a megadásához, amelyhez kapcsolódik. Amikor a számítógép DNS-keresést végez - legyen szó akár a google.com vagy a thepiratebay.se-ről - a DNSSEC lehetővé tenné a számítógép számára, hogy meghatározza, hogy megkapja-e a megfelelő választ a domain név tulajdonosai által hitelesített. A DNSSEC csak egy protokoll; nem próbálja megkülönböztetni a "jó" és "rossz" weboldalakat.
A SOPA megkövetelte volna, hogy az internetszolgáltatók átirányítsák a "rossz" weboldalak DNS-keresését. Például ha egy internetszolgáltató előfizetői megpróbálták elérni a thepiratebay.se-t, az ISP DNS szerverei visszaadják egy másik weboldal címét, amely tájékoztatja őket arról, hogy a Pirate Bay blokkolva volt.
A DNSSEC-nél ez a átirányítás nem lenne megkülönböztethető a "mid-center" támadással szemben, amelyet a DNSSEC megakadályozott. A DNSSEC telepítését igénybe vevő internetszolgáltatóknak a Pirate Bay tényleges címével kell reagálniuk, és így megsértenék a SOPA-t.A SOPA befogadásához a DNSSEC-nek nagy lyukra lenne szüksége, amely lehetővé tenné az internetszolgáltatók és a kormányok számára, hogy a domain név DNS-kérelmeit a domain név tulajdonosainak engedélye nélkül átirányítsák. Ez nehéz lenne (ha nem lehetetlen) biztonságos módon megtenni, valószínűleg megnyitva új biztonsági lyukat a támadóknak.
Szerencsére a SOPA halott, és remélhetőleg nem fog visszatérni. A DNSSEC jelenleg telepítve van, és régóta esedékes megoldást nyújt ehhez a problémához.