新通用顶级域将加快DNSSEC的部署

 

根据ICANN要求，新通用顶级域申请机构应具备提供DNSSEC服务相关的技术能力，在顶级域授权前必须通过ICANN有关DNSSEC的系统实测，并向ICANN提交测试中所用的有效密钥装置的说明文档以及顶级域的DNSSEC政策声明（DPS）。预计到2015年，包括本轮次申请的新通用顶级域在内的全球绝大部分通用顶级域将完成DNSSEC的部署工作。在此带动下，全球顶级域DNSSEC部署速度将提速。 
 

【分析】
 

由于DNSSEC不可能一夜之间部署到整个互联网，而只能逐步进行部署，因此理想情况下的信任链尚不能有效建立，DNS与DNSSEC仍将并行使用，那些先部署了DNSSEC的区则形成一个个的“孤岛”。这会造成两种情况：第一是不安全的未签名区与签名区进行通信（DNS）时会将错误信息混入其中；第二是严格执行DNSSEC的区会在阻止错误信息的同时将大量未应用DNSSEC的区所需的信息拒之门外。 
 

因此，凭借对通用顶级域的控制权，ICANN借助新gTLD计划大规模推广DNSSEC，希望在顶级域规模扩张的同时避免出现“孤岛”现象，推动DNSSEC的使用。这一举措将对DNSSEC的普及应用产生重要的促进作用，在客观上也对尚未接受DNSSEC的顶级域形成压力，以达到最终DNSSEC一统域名安全领域的目标。
 

由于DNSSEC将大大增加DNS报文长度，降低DNS查询和响应时间性能，同时要求网络设备以及计算、存储和管理能力对DNSSEC提供支持并不断升级扩容，因此ICANN强制推行DNSSEC势必增加新gTLD申请机构申请和运营的负担，客观上为能够提供DNSSEC解决方案的企业创造了市场空间。
 

但是必须要指出的是，DNS所面临的安全威胁远不止于域名欺骗，即使部署了DNSSEC也绝不是在DNS安全方面可以高枕无忧了。对于普遍存在且造成较大危害的（分布式）拒绝服务攻击（DoS/DDoS）、对注册服务商的域名劫持、钓鱼网站等一系列DNS安全问题，DNSSEC并未能提供有效解决方案。而且，由于DNSSEC的报文长度增加和解析过程繁复，在面临DDoS攻击时，DNS服务器承受的负担更为严重，抵抗攻击所需的资源要成倍增加。