DNSSEC lisab kriitilise turvalisuse kohale, kus Internetis tegelikult pole. Domeeninimede süsteem (DNS) toimib hästi, kuid selles protsessis ei ole mingit kontrolli, mis jätab ründajatele avama.
Praegune asjade seis
Oleme selgitanud, kuidas DNS toimib varem. Lühidalt, iga kord, kui loote ühenduse domeeninimega "google.com" või "howtogeek.com," töötab teie arvuti oma DNS-serveriga ja otsib selle domeeninimega seotud IP-aadressi. Seejärel ühendab teie arvuti selle IP-aadressiga.
Tähtis on see, et DNS-i otsingus pole mingit kontrolli protsessi. Teie arvuti küsib veebisaidiga seotud aadressil DNS-serverit, DNS-server vastab IP-aadressile ja teie arvuti ütleb "okei!" Ja loob selle veebisaidiga õnnelikult. Teie arvuti ei peatu kontrollima, kas see on kehtiv vastus.
HTTPS-krüpteerimine annab mõne kinnituse. Näiteks ütleme, et proovite oma pangakonverentsiga ühendust luua ja näete oma aadressiribal HTTPS-i ja lukuikooni. Teate, et sertifitseerimisasutus on kinnitanud, et see veebisait kuulub teie pangale.
Teie pangal pole võimalust öelda: "Need on meie veebisaidi õigustatud IP-aadressid."
Kuidas DNSSEC aitab
DNS-lookup tegelikult toimub mitmel etapil. Näiteks kui teie arvuti küsib www.howtogeek.com, teeb teie arvuti selle otsingu mitmel korral:
- See küsib esmalt juuritsooni kataloogi, kus see võib leida .com.
- Seejärel küsib kataloogi.com, kus seda saab leida howtogeek.com.
- Seejärel küsib see howtogeek.com, kus seda saab leida www.howtogeek.com.
DNSSEC hõlmab juure allkirjastamist. Kui teie arvuti läheb küsima juuritsooni, kus see võib leida.com, saab ta kontrollida juuritsooni allkirjavõtit ja kinnitada, et see on õige juurdetsoon. Seejärel annab juurte tsoon teavet allkirja võtme või.com ja selle asukoha kohta, võimaldades teie arvutil ühendust.com-kataloogiga ja tagada, et see on õigustatud..Com-kataloog annab alltoodud võtme ja teabe, mis aadressile howtogeek.com, võimaldab ühendust võtta aadressiga howtogeek.com ja veenduda, et olete ühendatud tõelise howtogeek.com-ga, nagu seda kinnitavad selle kohal olevad tsoonid.
Kui DNSSEC on täielikult valtsitud, saab teie arvuti DNS-vastused kinnitada, et need on seaduslikud ja tõesed, kuid praegu ei ole võimalik teada, millised neist on võltsitud ja millised on tõelised.
Mis SOPA oleks teinud
Niisiis, kuidas STOP-i piraatluse seadus, mida tuntakse paremini kui SOPA-d, mängis kõike seda? Kui te järgite SOPA-d, siis mõistate, et seda kirjutasid inimesed, kes ei saanud Internetti aru, nii et see "murda Internetti" mitmel viisil. See on üks neist.
Pidage meeles, et DNSSEC lubab domeeninime omanikul DNS-kirjete allkirjastamist. Näiteks võib thepiratebay.se kasutada DNSSEC-i, et määrata IP-aadressid, millega see on seotud. Kui arvuti sooritab DNS-i otsingu - kas see on google.com või thepiratebay.se - DNSSEC lubab arvutil otsustada, kas ta saab õige vastuse, mida domeeninime omanikud on valideerinud. DNSSEC on lihtsalt protokoll; see ei püüa diskrimineerida "häid" ja "halbu" veebisaite.
SOPA oleks nõudnud Interneti-teenuse pakkujaid, et suunata DNS otsinguid "halvaks" veebisaitidele. Näiteks kui Interneti-teenuse pakkuja abonendid proovisid juurdepääsu thepiratebay.se-le, tagastavad Interneti-teenuse pakkuja DNS-serverid teise veebisaidi aadressi, mis teavitab neid, et Pirate Bay oli blokeeritud.
DNSSEC-iga selline ümbersuunamine ei eristataks meediates keskel toimuvast rünnakust, mille DNSSEC eesmärk oli vältida. Interneti-teenuse pakkujad, kes kasutavad DNSSEC-d, peaksid vastama Pirate Bay'i tegelikule aadressile ja rikkuma SOPA-d.SOPA mahutamiseks peaks DNSSECil olema suur auk, mis võimaldaks Interneti-teenuse pakkujatel ja valitsustel domeeninime DNS-taotluste ümbersuunamist ilma domeeninime omanike loata. See oleks raske (kui mitte võimatu) teha turvaliselt, tõenäoliselt avada ründajatele uued turvaaugud.
Õnneks SOPA on surnud ja loodetavasti ei tule tagasi. DNSSECi käivitatakse praegu, pakkudes selle probleemi lahendamiseks kaua aega.