Członkowie IAB są przekonani, że powstanie takiego systemu zapewni ICANN-owi wpływ na ciągłą wymianę kluczy używanych do podpisywania strefy root. Jednocześnie ostrzegają, że wdrożenie systemu DNSSEC „musi służyć kwestiom bezpieczeństwa danych i ich wiarygodności, a nie kontroli nad informacją”. Zdanie takie znalazło się w odpowiedzi na pismo ze strony amerykańskiej Narodowej Agencji Telekomunikacji i Informacji (NTIA).

Od dłuższego już społeczność internetowa jest podzielowa w kwestii wprowadzenia zabezpieczeń systemu DNS. Pomimo krytyki ze strony wybitnych specjalistów, zwolennicy DNSSEC, których w łonie IETF jest najwyraźniej niemało, intensywnie forsują swoje zabezpieczenie. Dlatego też w piśmie do NTIA znalazło się zdanie „DNSSEC jest jedynym standardowym mechanizmem, który może zabezpieczyć dane DNS przed sfałszowaniem i zakłóceniem ich w czasie transmisji przez Sieć”. Według IAB, pozwoli to w szczególności zabezpieczyć Internet przez atakami phishingowymi i podatnościami, które zostały odkryte w tym roku przez Dana Kaminsky'ego.

Jeśli jednak nawet nie uda się podpisać wszystkich stref, to według IAB, podpisanie tych najbardziej krytycznych – czyli np. związanych z bankowością czy finansami – może bardzo pomóc w zabezpieczeniu Internetu przed zagrożeniami. Jednocześnie IAB ostrzega, że wprowadzenie tego systemu wymaga bardzo dobrego rozplanowania. W przeciwnym wypadku mógłby on nawet zwiększyć wrażliwość DNS-u na ataki.

Dlatego członkowie IETF proponują, by połączyć ze sobą kwestie aktualizacji stref i ich podpisywania. Ma to pozwolić na uniknięcie konieczności przesyłania przez Sieć danych dla niepodpisanych stref. Dotychczasowe propozycje wiązały się z całkowitym oddzieleniem kwestii podpisywania stref i generowania kluczy. IAB uważa, że kwestie tego, kto będzie zarządzać strefą root powinny być rozstrzygnięte osobno.

Odpowiedź IAB jest jedną z kilkunastu, które trafiły do NTIA. Wśród pozostałych znajdują się szczegółowe propozyzje mechanizmów przesyłania tzw. głównego klucza (Master Key) do IANA i operatorów strefy root, ostrzeżenia przed ignorowaniem ekonomicznych konsekwencji wdrożenia DNSSEC oraz wątpliwości co do sensowności całego działania, skoro użytkownicy i tak zwykle ignorują wskazówki ze strony systemów zabezpieczających. Dziś – 24 listopada br. upływa termin zgłaszania ostatnich uwag w tej kwestii.

Źródło: heise.de