DNSSEC legger til kritisk sikkerhet til et sted der Internett egentlig ikke har noen. Domenenavnssystemet (DNS) fungerer bra, men det er ingen verifisering når som helst i prosessen, som gir hull åpne for angripere.
Den nåværende tilstanden av saker
Vi har forklart hvordan DNS fungerer tidligere. I et nøtteskall, når du kobler til et domenenavn som "google.com" eller "howtogeek.com", kontakter datamaskinen din sin DNS-server og ser opp tilhørende IP-adresse for det domenenavnet. Datamaskinen din kobler deretter til den IP-adressen.
Det er viktig at det ikke er noen verifikasjonsprosess som er involvert i et DNS-oppslag. Datamaskinen spør sin DNS-server for adressen som er tilknyttet et nettsted, DNS-serveren reagerer med en IP-adresse, og datamaskinen sier "ok!" Og kobler seg gjerne til den nettsiden. Datamaskinen stopper ikke for å sjekke om det er et gyldig svar.
HTTPS-kryptering gir noen bekreftelse. For eksempel, la oss si at du prøver å koble til bankens nettsted og du ser HTTPS og låsikonet i adressefeltet. Du vet at en sertifiseringsmyndighet har bekreftet at nettstedet tilhører banken din.
Din bank har ingen måte å si "Dette er de legitime IP-adressene for nettstedet vårt."
Hvordan DNSSEC vil hjelpe
En DNS-oppslag skjer faktisk i flere stadier. For eksempel, når datamaskinen spør etter www.howtogeek.com, utfører datamaskinen denne oppslaget i flere faser:
- Den spør først "rotsonen katalogen" hvor den kan finne .com.
- Deretter spør den.com-katalogen hvor den kan finne howtogeek.com.
- Det spør deretter howtogeek.com hvor den kan finne www.howtogeek.com.
DNSSEC involverer "signering av roten." Når datamaskinen går for å spørre rotsonen der den kan finne.com, vil den kunne sjekke rotsonen signeringsnøkkel og bekrefte at det er den legitime rotsonen med sann informasjon. Rotsonen vil deretter gi informasjon om signeringsnøkkelen eller.com og dens plassering, slik at datamaskinen din kan kontakte.com-katalogen og sikre at den er legitim..Com-katalogen vil gi signeringsnøkkelen og informasjonen til howtogeek.com, slik at den kan kontakte howtogeek.com og verifisere at du er koblet til den virkelige howtogeek.com, som bekreftet av sonene over den.
Når DNSSEC er fullt utrulling, vil datamaskinen kunne bekrefte at DNS-svar er legitime og sanne, mens det for øyeblikket ikke har noen måte å vite hvilke som er falske og hvilke som er ekte.
Hva SOPA ville ha gjort
Så hvordan spilte Stop Online Piracy Act, bedre kjent som SOPA, inn i alt dette? Vel, hvis du fulgte SOPA, skjønner du at det var skrevet av folk som ikke forstod Internett, så det ville "bryte Internett" på ulike måter. Dette er en av dem.
Husk at DNSSEC lar domenenavnere registrere sine DNS-poster. Så, for eksempel, kan thepiratebay.se bruke DNSSEC til å angi IP-adressene den er knyttet til. Når din datamaskin utfører et DNS-oppslag - enten det gjelder google.com eller thepiratebay.se - vil DNSSEC tillate datamaskinen å bestemme at den mottar det riktige svaret, slik det er godkjent av domenenavnets eiere. DNSSEC er bare en protokoll; Det forsøker ikke å diskriminere mellom "gode" og "dårlige" nettsteder.
SOPA ville ha krevd Internett-leverandører for å omdirigere DNS-oppslag for "dårlige" nettsteder. For eksempel, hvis en Internett-leverandørens abonnenter prøvde å få tilgang til thepiratebay.se, ville ISPs DNS-servere returnere adressen til et annet nettsted, som ville informere dem om at Pirate Bay hadde blitt blokkert.
Med DNSSEC ville en slik omdirigering ikke skille seg fra et mann-i-midten-angrep, som DNSSEC ble utformet for å forhindre. Internett-leverandører som bruker DNSSEC, må svare med den faktiske adressen til Pirate Bay, og vil dermed være i strid med SOPA.For å imøtekomme SOPA, ville DNSSEC måtte ha et stort hull kuttet inn i det, en som ville tillate Internett-leverandører og regjeringer å omdirigere DNS-forespørsler om domenenavn uten tillatelse fra domenenavnets eiere. Dette ville være vanskelig (om ikke umulig) å gjøre på en sikker måte, sannsynligvis å åpne nye sikkerhetshull for angripere.
Heldigvis er SOPA død, og forhåpentligvis kommer det ikke tilbake. DNSSEC er for tiden i bruk, og gir en langvarig løsning på dette problemet.