DNSSEC dodaje kritičnu sigurnost na mjesto gdje Internet zapravo nema. Sustav naziva domene (DNS) dobro funkcionira, ali nema nikakvog provjere u bilo kojem trenutku procesa, što otvara otvor za napadače.
Sadašnje stanje poslova
Objasnili smo kako DNS funkcionira u prošlosti. Ukratko, svaki put kad se povežete s nazivom domene poput "google.com" ili "howtogeek.com", vaše računalo kontaktira svoj DNS poslužitelj i pregledava pridruženu IP adresu za taj naziv domene. Računalo se zatim povezuje s tom IP adresom.
Važno je da postupak pretraživanja nije uključen u DNS pretraživanje. Vaše računalo traži njegov DNS poslužitelj za adresu povezanu s web stranicom, DNS poslužitelj odgovara IP adresom, a vaše računalo kaže "dobro" i sretno se povezuje s tom web-lokacijom. Vaše računalo ne prestaje provjeriti je li to valjani odgovor.
HTTPS enkripcija pruža neke provjere. Na primjer, pretpostavimo da se pokušajte povezati s web-lokacijom banke i vidjet ćete HTTPS i ikonu lokota u adresnoj traci. Znaš da je certifikacijsko tijelo potvrdilo da web stranica pripada vašoj banci.
Vaša banka nema načina da kaže "Ovo su legitimne IP adrese za našu web stranicu".
Kako će DNSSEC pomoći
DNS pretraživanje se zapravo događa u nekoliko faza. Na primjer, kada vaše računalo pita za www.howtogeek.com, vaše računalo obavlja ovaj pregled u nekoliko faza:
- Prvo pita "direktorij korijenske zone" gdje može pronaći .com.
- Zatim ga pita u direktoriju.com gdje ga može pronaći howtogeek.com.
- Zatim pita howtogeek.com gdje može pronaći www.howtogeek.com.
DNSSEC uključuje "potpisivanje korijena". Kad vaše računalo ode tražiti korijensku zonu gdje može pronaći.com, moći će provjeriti ključ za potpisivanje korijenske zone i potvrditi da je legitimna korijenska zona s pravim informacijama. Zona korijena tada će pružiti informacije o ključu za potpisivanje ili.com i njegovom mjestu, omogućujući vašem računalu da kontaktira mapu.com i osigura da je legitimna. The.com katalog imat će potpisnu ključ i informacije za howtogeek.com, dopuštajući mu da kontaktirate howtogeek.com i provjerite jeste li povezani sa stvarnim howtogeek.com, kao što potvrđuju zone iznad nje.
Kada se DNSSEC potpuno iskoristi, vaše računalo će moći potvrditi da DNS odgovori su legitimni i istiniti, dok trenutno ne može znati koji su lažni i koji su pravi.
Što bi SOPA učinila?
Pa kako je učinio Stop Online Piracy Act, poznatiji kao SOPA, u svemu tome? Pa, ako ste slijedili SOPA, shvaćate da su ga napisali ljudi koji nisu razumjeli Internet pa bi "razbila Internet" na različite načine. Ovo je jedan od njih.
Zapamtite da DNSSEC omogućuje vlasnicima domena da potpišu svoje DNS zapise. Tako, na primjer, thepiratebay.se može koristiti DNSSEC da bi odredio IP adrese s kojima je povezana. Kada računalo obavlja DNS traženje - bilo da je riječ o google.com ili thepiratebay.se - DNSSEC će omogućiti računalu da utvrdi da prima ispravni odgovor kao potvrdu vlasnika domene. DNSSEC je samo protokol; ne pokušava diskriminirati "dobre" i "loše" web stranice.
SOPA bi zahtijevala od davatelja internetskih usluga da preusmjeri DNS traženja za "loše" web stranice. Na primjer, ako su pretplatnici davatelja internetskih usluga pokušali pristupiti thepiratebay.se, DNS poslužitelji ISP-a vratit će adresu druge web stranice, koja bi ih obavijestila da je Pirate Bay bio blokiran.
S DNSSEC-om, takva preusmjeravanja ne bi se razlikovala od napada koji je DNSSEC namijenjen spriječavanju napada čovjeka u sredini. ISP-ovi koji će razmjenjivati DNSSEC morat će odgovoriti na stvarnu adresu Piratskog zaljeva i time bi prekršili SOPA.Kako bi prihvatili SOPA, DNSSEC bi trebao imati veliku rupu u njega, onu koja bi omogućila davateljima internetskih usluga i vladama da preusmjeravaju DNS ime domene bez dopuštenja vlasnika domene. To bi bilo teško (ako ne i nemoguće) učiniti na siguran način, vjerojatno otvarajući nove sigurnosne rupe za napadače.
Srećom, SOPA je mrtav i nadamo se da se neće vratiti. DNSSEC se trenutačno koristi, pružajući dugoročno rješenje za ovaj problem.