APNIC文摘—DNSSEC validation revisited(下)

 

本APNIC文摘原標題為DNSSEC validation revisited,由APNIC首席科學家Geoff Huston撰文。

截至2020年2月為止,全球的DNSSEC部署率約仍只有3成,3成中更有3分之1屬於僅「部分部署」的使用者。究竟安裝DNSSEC是否必要?Huston一一舉出DNSSEC的優缺點,讓讀者進一步了解業界對此安全技術的正反論點。

首先,對DNS區域(zone)管理人員而言,安裝DNSSEC只是多了個「不知何時會出錯」的不確定因素。DNSSEC不只會讓DNS回應封包變大,進而增加傳輸錯誤的機率,要求「驗證簽名」的額外步驟也會拉長回應和處理DNS查詢的時間。

不僅如此,很多人認為DNSSEC並未真正解決「確保DNS回應未被變造」的問題:大部分的終端系統都沒有親自執行DNSSEC,而是仰賴DNS解析器幫他們執行。這表示用戶端解析器(stub resolver)和負責驗證的解析器之間,仍充分可能發生中間人攻擊(Man-in-the-Middle Attack,MitM)。

最後,未通過DNSSEC的DNS查詢回應也只會回傳「SERVFAIL」訊息。收到訊息的遞迴解析器根本不會知道這代表回應未通過驗證,只會繼續嘗試向其他授權伺服器送出一樣的查詢。

一言以蔽之,DNSSEC作為一個安全技術並不完善,而且安裝成本遠高於效益。這也是許多業者對此技術卻步的原因。

但是,目前的DNS基礎建設仍維持草建時期的樣貌,所有功能都仰賴各方無條件的互相信任。換句話說,DNS基礎建設完全沒有任何針對惡意、濫用的安全防範措施。在這充滿漏洞的環境中,DNSSEC雖非完美,但其技術和功能仍具有意義。而且,許多開發中、更強效的安全技術都必須以DNSSEC為基礎;DNSSEC可說是邁向更安全、更穩定的DNS之關鍵墊腳石。

最後Huston也再次呼籲,與其癡癡等待無懈可擊的安全技術,不如先求有、再求好,安裝DNSSEC,往更安全、更穩定的DNS穩健前進。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNSSEC validation revisited

Photo created by freepik

Scroll to Top