DNSSEC是域名系统安全扩展的简称。它是一组扩展,为DNS协议添加额外的安全性。这是通过启用DNS请求的验证来实现的,这对DNS欺骗攻击特别有效。DNSSEC为DNS记录提供数字签名,因此解析器可以检查内容是否真实。
这篇文章的原因是最近的SIDN报告得出的结论是,DNSSEC在荷兰的安全状况还有很多不足之处。举几个例子,银行业和互联网服务提供商落后了。特别是与政府部门相比,政府部门必须在2017年底完全兼容,目前有59%的域名需要加密保护和签名。
报告的背景
在调查中只包括。nl域名,因此更国际化的公司,可能使用其他顶级域名(顶级域名)不包括在研究中。我们希望这种性质的公司在这方面更先进。在总计约570万个域名中,46%的域名被签署。
额外的安全
DNSSEC本身不仅是一个安全特性,它还为其他特性提供了一个平台,如:
- DKIM(DomainKeys识别邮件)
- SPF(发件人策略框架)
- DMARC(基于域的消息身份验证,报告和一致性)
- 丹麦(基于DNS的命名实体的身份验证)
特别是DANE,它是一种允许将传输层安全(Transport Layer Security, TLS)证书绑定到域名系统(Domain Name System, DNS)名称的协议,在一些证书机构(CA)提供者被攻破、任何CA都可以为任何域名颁发证书之后,被认为是安全方面的重大进步。这就是为什么我们说绿色挂锁是必需的,但这还不够。接下来,重要的是要知道,所有流行的浏览器都支持DNSSEC,而且大多数浏览器都支持DANE(对于某些浏览器,您可能需要一个插件),因此实现这种额外的安全性应该会大大减少DNS欺骗的可能性。
扩展DNSSEC验证器
报告的主要结论
就个人而言,我很惊讶,几乎震惊,发现只有6%的银行网站都有他们的域名签署,最糟糕的所有调查域名。特别是令人担忧,因为近近次来自地上银行业务的举动一直在稳步发展。所有金融公司的百分比为16%。我们期待更好的数据的其他部门:
- 互联网服务提供商(isp)占22%
- 上市公司上市公司12%
- 互联网商店30%
- 电信提供者的33%和最糟糕的是,4个最大的提供商,有一个.nl域,没有贡献该得分。
如前所述,只有一组对政府网站的59%的评分比较满意,他们说,他们将被迫在今年年底(2017年)遵守。
因此,尽管在过去的两年半时间里(之前的报告),注册域名的数量有了相当大的增长,但一些行业仍然严重落后,特别是一些我们希望和期待的行业。
你的国家
如果您在您所在国家/地区的这些数字有任何类似的数据,请告诉我在评论中。我想进行一些比较。
Pieter Arntz
注释