DNS root server 全面升級 DNSSEC
某同事常常說我很扭曲,但是這社會讓我不得不扭曲啊~
網路是很危險的,可能會有人進行 DNS cache poisoning 攻擊,也有可能像是先前提到過中國可能透過 DNS root server mirror site 傳回假的 DNS 資訊來進行 MITM attack;對付像這種假的 DNS response 的最佳解法就是導入 DNSSEC,而就在昨天 (2010/05/05),所有的 DNS root server 都已經換裝成功,再過一個多月,預計 2010/07/01 就會正式上路,signed root server 正式啟用。
root server 的 DNSSEC 啟用只代表了整個基礎建設都打通了,並不代表說 DNS 以後就沒問題了,因為要讓 DNSSEC 發揮作用的話,最重要的還是各 domain name 的 owner 把自己的 domain sign 一下,這樣 user client 才有辦法判斷真偽;不過話又說回來了,DNSSEC 的基礎是也是靠 CA 的認證機制,如果 CA 本身就不可靠,DNSSEC 也就不太可靠。講白一點就是 .cn 底下的 domain,使用者要上的話還是自求多福吧,目前沒有什麼技術可以幫得了你 XD
Comments
Comment from anlu
Time 2010/08/23 at 11:05 下午
廖董…感謝你昨天的指點,今天的報告算是過關了…幹.好累阿
Pingback from Tweets that mention Reading: DNS root server 全面升級 DNSSEC #小隔間裡的人生 – — Topsy.com
Time 2010/05/09 at 3:29 上午
[...] This post was mentioned on Twitter by Goston . Goston said: Reading: DNS root server 全面升級 DNSSEC #小隔間裡的人生 – http://is.gd/c0pPQ [...]