網域名稱系統(Domain Name Server,DNS)是網際網路上的一項關鍵服務。自從利用DNS漏洞的網路攻擊增加,相關社群開始關注DNS的安全性。多年來,ICANN一直通過各種倡議活動和能力建構計劃支援域名系統安全擴充(Domain Name System Security Extensions,DNSSEC)。
DNSSEC是用於保護DNS解析資料的方法之一。域名註冊人、系統管理員或DNS管理者使用公鑰加密和雜湊演算法在權威域名伺服器中簽署DNS紀錄。通常在網際網路服務供應商基礎設施或企業網路內部的DNS遞歸解析器,會驗證所收到的DNS回復資訊的簽名真實性和完整性。
為促進非洲和中東地區採用DNSSEC,ICANN以聯合國六種官方語言發佈了ccTLD DNSSEC部署手冊 (OCTO-029) 。ICANN透過這份手冊與不同語言的使用者進行交流,相信這份循序漸進的手冊能使廣大社群受益。
ICANN也著重協助國碼頂級網域名稱(Country code top-level-domain,ccTLD)使用DNSSEC來保護其使用區域。近期看到.ci和.rw等新的ccTLD使用DNSSEC簽署其根區域檔案,ICANN對此感到非常驕傲。其他ccTLD也積極採納部署DNSSEC的流程,ICANN將會繼續鼓勵並為尚未實施保護DNS措施的機構提供幫助,期待看到他們開始啟動部署流程。
ICANN還協助非洲和中東的十幾家網路營運商(主要是ISP)和行動網路營運商在其遞歸解析器中啟動DNSSEC驗證。非洲和中東的DNSSEC使用率是世界上最低的。即使有了進展,仍有許多工作要做。根據亞太網路資訊中心(APNIC)實驗室的資料,過去兩年,非洲的DNSSEC驗證率從不到25%上升到了30%,而中東地區則保持在50%左右。ICANN將繼續與合作夥伴努力,提高DNSSEC在非洲和中東的使用率。
未來將繼續為該地區的營運商提供支援和培訓,以部署DNSSEC簽名和驗證。ICANN團隊透過這種方式,提高網際網路的安全性和彈性。於9月份推出的新KINDNS計劃,將幫助各樣DNS營運商提高營運安全性。
相關連結:Yazid Akanho(2022). Two Years of Supporting DNSSEC Deployment in Africa and the Middle East. ICANN. 檢自:https://www.icann.org/en/blogs/details/two-years-of-supporting-dnssec-deployment-in-africa-and-the-middle-east-27-10-2022-en (Nov. 07, 2022)
