DNSSEC pridá kritickú bezpečnosť do miesta, kde internet v skutočnosti nemá. Doménový systém (DNS) funguje dobre, ale v žiadnom okamihu procesu nie je žiadne overenie, čo otvára otvory pre útočníkov.
Súčasný stav záležitostí
Vysvetlili sme, ako DNS funguje v minulosti. Stručne povedané, kedykoľvek sa pripojíte k doménovému menu ako "google.com" alebo "howtogeek.com", počítač sa skontaktuje s jeho serverom DNS a vyhľadá priradenú IP adresu pre daný názov domény. Váš počítač sa potom pripája k tejto adrese IP.
Dôležité je, že v vyhľadávaní DNS nie je zapojený žiadny proces overovania. Váš počítač požiada svoj server DNS o adresu priradenú k webovým stránkam, server DNS odpovie IP adresou a váš počítač hovorí "v poriadku!" A šťastne sa pripája k tejto webovej lokalite. Váš počítač neprestanú kontrolovať, či je to platná odpoveď.
Šifrovanie HTTPS poskytuje určité overenie. Povedzme napríklad, že sa pokúšate pripojiť na webovú stránku svojej banky a v paneli s adresou vidíte protokol HTTPS a ikonu zámku. Viete, že certifikačná autorita overila, že táto webová stránka patrí vašej banke.
Vaša banka nemôže povedať "Toto sú legitímne adresy IP pre naše webové stránky."
Ako pomôže služba DNSSEC
DNS vyhľadávanie sa skutočne deje v niekoľkých fázach. Napríklad, keď počítač požiada o www.howtogeek.com, váš počítač vykoná tento vyhľadávací postup v niekoľkých fázach:
- Najskôr sa spýta "adresár koreňovej zóny", kde nájde .com.
- Potom sa spýta adresár.com, kde môže nájsť howtogeek.com.
- Potom sa spýta, kde nájde howtogeek.com www.howtogeek.com.
DNSSEC zahŕňa "podpísanie koreňa". Keď sa počítač pýta na koreňovú zónu, kde môže nájsť.com, bude môcť skontrolovať podpisový kľúč koreňovej zóny a potvrdiť, že je to pravdivá koreňová zóna s pravdivými informáciami. Koreňová zóna potom poskytne informácie o podpisovom kľúči alebo.com a jeho umiestnení, čo umožní počítaču kontaktovať adresár.com a zabezpečiť jeho legitímnosť. Adresár.com poskytne podpisový kľúč a informácie pre howtogeek.com, čo mu umožní kontaktovať howtogeek.com a overiť, či ste pripojení na skutočný howtogeek.com, čo potvrdzujú zóny nad ním.
Keď sa DNSSEC úplne rozvinie, váš počítač dokáže potvrdiť, že odpovede DNS sú legitímne a pravdivé, zatiaľ čo v súčasnosti nemá žiaden spôsob, ako zistiť, ktoré sú falošné a ktoré sú skutočné.
Čo by SOPA urobila
Tak ako sa na to všetko podieľa Stop Online Piracy Act, známejšie ako SOPA? No, ak ste sledovali SOPA, uvedomíte si, že to bolo napísané ľuďmi, ktorí nerozumeli internetu, a tak by to "rozbil internet" rôznymi spôsobmi. To je jeden z nich.
Nezabudnite, že DNSSEC umožňuje vlastníkom doménových mien podpisovať svoje záznamy DNS. Napríklad, thepiratebay.se môže použiť DNSSEC na špecifikáciu IP adries, s ktorými je spojená. Keď počítač vykoná vyhľadávanie DNS - či už je to pre google.com alebo thepiratebay.se - DNSSEC umožní počítačovi určiť, že dostane správnu odpoveď ako je overená vlastníkmi doménového mena. DNSSEC je len protokol; nesnaží sa rozlišovať medzi "dobrými" a "zlými" webovými stránkami.
SOPA by vyžadovalo, aby poskytovatelia internetových služieb presmerovali vyhľadávania DNS na "zlé" webové stránky. Napríklad, ak sa odberatelia poskytovateľa internetových služieb pokúsili o prístup na serverpiratebay.se, servery DNS poskytovateľa internetových služieb vrátia adresu inej webovej stránky, ktorá by ich informovala o tom, že bol server Pirate Bay zablokovaný.
Pri DNSSEC by takéto presmerovanie bolo nerozlíšiteľné od útoku typu "man-in-the-middle", ktorý DNSSEC bol navrhnutý na prevenciu. Poskytovatelia internetových služieb nasadzujúci DNSSEC by museli odpovedať skutočnou adresou Pirate Bay a tým by porušili SOPA.Aby sa vyhovelo SOPA, DNSSEC by musel mať do neho veľký otvor, ktorý by umožnil poskytovateľom internetových služieb a vládam presmerovať žiadosti DNS o názvy domén bez povolenia vlastníkov doménových mien. Bolo by ťažké (ak nie nemožné) robiť bezpečným spôsobom, pravdepodobne otvoriť nové bezpečnostné otvory pre útočníkov.
Našťastie SOPA je mŕtva a snáď sa nevráti. DNSSEC je v súčasnosti nasadený a poskytuje dlho opravenú opravu tohto problému.
