DNSSEC推广遇阻,Cloudflare使其变得简单

在不久的将来,预计将采用DNSSEC技术,以建立对域名系统(DNS)的信任,这是负责将网站名称转换为机器可理解数据的机制。

Cloudflare今天宣布其客户现在有一种简单的方法来增加DNS安全性,而无需在注册商处进行任何配置。

域名系统十分简洁

由于人类不像计算机一样善于处理数字,因此当我们想要访问网站时,称为域名系统(DNS)的模型负责将网站名称转换为相应的IP地址。

这个系统一直以来广受好评,直到它被发现它是易受攻击的,并且攻击者可以操纵它来指向用户恶意内容。

输入DNSSEC(域名系统安全扩展)模型,该模型在负责将客户端查询定向到适当目标的DNS服务器之间建立信任链。它在从权威名称服务器收到的答案中提供真实性和完整性。

DNSSEC采用进程缓慢

DNSSEC是一个更安全的互联网的解决方案,但它的采用起来非常缓慢,尽管它部署在第一个根名称服务器上,客户端查询在寻找域时首先到达,于2009年12月1日宣布。

根据亚太网络信息中心(APNIC)提供的信息,全球DNSSEC验证目前为15.8%。

Cloudflare表示: “这里的责任归咎于大多数设备和用户通过其ISP或网络提供商从DHCP接收的默认DNS提供商的肩膀。”

虽然在一些国家,DNSSEC的采用率超过80%,但世界地图仍然主要来自验证解析器低于10%的地区,许多欧洲国家就是这种情况。在美国,目前的采用率超过23%。

Cloudflare让它变得简单

Cloudflare在单个域级采用DNSSEC时发现的另一个问题,因为一些大型DNS运营商不提供选项或收费。

此外,来自APNIC的统计数据显示,许多域所有者尝试激活DNSSEC,但没有完成该过程,这表明是一个困难的过程。

为了解决这个问题,Cloudflare通过提供用于为子域添加委派签名者(DS)记录的简约界面,使其网络中的域所有者可以轻松激活DNSSEC。

该公司表示,受支持的注册管理机构的客户可以通过Cloudflare仪表板一键启用DNSSEC。

该公司还宣布完全支持从Cloudflare Dash启用DNSSEC的域的CDS / CDNSKEY(Child DS / Child DNSKEY)记录。

这些记录的目的是发出安全入口点的变化信号,从而在DNS运营商没有其他选择通知父母需要更改的情况下验证授权。

“Cloudflare将为所有启用DNSSEC的域发布CDS和CDNSKEY记录。主要注册管理机构应扫描其权限范围内的域名服务器并检查这些rrsets。授予Cloudflare的域的CDS密钥的存在表明已验证的Cloudflare用户已在短划线内启用了DNSSEC,并且主要运营商(注册商或注册机构本身)应该获取CDS记录内容并创建必要的DS记录以开始签署域名,“该公司解释说。

通过这一举措,Cloudflare希望更多的DNS提供商能够跟上其脚步,使用户不那么容易受到DNS攻击。该公司表示,其客户可以免费激活DNSSEC,并将DS输入到权限中。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/cloudflare-makes-dnssec-activation-easy/

扫码关注云+社区

领取腾讯云代金券