Технология DNSSEC теперь и в домене .РФ

Благодаря стараниям Технического центра Интернета было осуществлено внедрение технологии DNSSEC в доменной зоне .РФ, в которой уже зарегистрировано более 840 000 доменов. И на сегодняшний день при помощи DNSSEC подписаны уже более 80 доменов верхнего уровня и число их постепенно увеличивается.

«Это серьёзный шаг в обеспечении безопасности функционирования системы доменных адресов в зоне РФ», — считает генеральный директор Технического центра Интернет Алексей Платонов.

Он также рассказал о том, что само подписание зоны, а также генерация ключей безопасности осуществляется с использованием технологий и принципов, которые уже успели хорошо зарекомендовать себя в международной практике, при этом используется только проверенное и сертифицированное оборудование.

В ближайшее время следует ожидать, что Технический центр Интернет опубликует наработанные решения и методики для подписания DNS серверов. Это позволит облегчить внедрение технологии DNSSEC другим участникам. Методической же поддержкой займётся ЗАО «Удостоверяющий центр интернет».

DNSSEC (Domain Name System Security Extensions) — это набор спецификаций, благодаря которым можно избавиться от уязвимостей, имеющихся в адресной системе DNS, которая изначально разрабатывалась не для обеспечения повышенной безопасности, но с целью создания масштабируемых распределённых систем. В те годы о безопасности ещё просто не задумывались. Как следствие, при желании злоумышленник может без особого труда перенаправлять запросы пользователей на подставные серверы, получая, таким образом, доступ к личным данным пользователям, которые в этот момент даже и не подозревают о происходящем.

Принцип работы технологии DNSSEC основан на методе цифровой подписи на все запросы DNS, при помощи которого удостоверяется их подлинность. То есть фальшивые DNS будут просто отсеиваться.

По сути своей, DNSSEC — это расширение DNS. Администратор доменной зоны подписывает записи о соответствии IP-адресов в своей зоне и доменных имён. В результате у потребителя появляется возможность проверки валидности подписи. Впрочем, следует учитывать, что хотя в DNSSEC и используются криптографические методы, сама передаваемая информация при этом не шифруется. То есть цель технологии не в обеспечении защищённости данных, а в том, чтобы обеспечить их целостность, а также гарантировать аутентификацию источника.