域名

DNSSEC

从端到端验证互联网。

开发域名系统安全扩展 (DNSSEC) 的鼻祖

威瑞信从 2000 年开始涉足 DNSSEC 的开发,我们工程师在 DNSSEC 散列认证否认存在 (NSEC3) 协议的制定中起到了带头作用。随着 DNSSEC 实施和采用的推进,我们将继续与互联网技术社区合作,加入行业组织。

DNSSEC 可以帮助保护用户不被转到诈骗网站和非预期地址,从而提高用户对互联网的信任。

2010 年 7 月,威瑞信与互联网数字分配机构 (IANA) 和美国商务部 (DoC) 合作,在根区域(域名系统 (DNS) 层次结构的起点)完成了 DNSSEC 的部署。威瑞信还在 2010 年 7 月与 EDUCAUSE 合作在 .edu 上启用了 DNSSEC,并于 2010 年 12 月与美国国家电信和信息管理局 (NTIA) 合作在 .net 上以及 2011 年 3 月在 .com 上启用了 DNSSEC。自 2011 年以来,DNSSEC 的采用取得了进展,几乎所有顶级域 (TLD) 都采用了 DNSSEC,并且使用了在根区域发布的签署委托。

此外,我们还采取多项措施帮助互联网生态系统的成员利用好 DNSSEC。这些措施包括:发行技术资料、提供操作测试环境、开设培训课程以及参加行业论坛。

威瑞信扮演着互联网安全卫士的角色。作为 .com.net 注册机构,同时也是关键互联网基础设施服务的提供商,我们的任务是保护互联网社区免受不断出现的新网络威胁,同时推动互联网的创新工作。我们的 DNSSEC 工作是现行关键互联网基础设施巩固和投资努力的另一举措。


DNSSEC 时间表

1990 发现 DNS 中的主要缺陷并开始关于 DNS 安全的对话。
1995 DNSSEC 成为互联网工程任务组 (IETF) 中的正式主题。
1999 完成 DNSSEC 协议 (RFC2535) 并开发 BIND9 作为第一次具有 DNSSEC 功能的实施。
2001 密钥处理产生运行问题,使 DNSSEC 部署无法用于大型网络。IETF 决定改写协议。
2005 在多个 RFC — 4033、4034 和 4035 中改写了 DNSSEC 标准。10 月,瑞典 (.se) 在其区域启用了 DNSSEC。
2007 7 月,ccTLD .pr(波多黎各)启用了 DNSSEC,之后,.br(巴西)在 9 月启用,.bg(保加利亚)在 10 月启用。
2008 NSEC3 标准 (RFC 5155) 发布。9 月,ccTLD .cz(捷克共和国)启用了 DNSSEC。
2009 威瑞信和 EDUCAUSE 创建了 DNSSEC 测试平台来选择 .edu 注册人。威瑞信和 ICANN 签署根区域用于内部使用。ICANN 和威瑞信使用密钥签名密钥 (KSK) 对区域签名密钥 (ZSK) 进行签名。
2010 在社区评估和测试期之后,第一个根服务器开始服务已签名的根区域。ICANN 举办了第一届 KSK 典礼。ICANN 发行根区域信方公钥(信任锚),且根区域操作员开始使用实际关键字服务已签名的根区域 — 已签名的根区域可用。威瑞信和 EDUCAUSE 启用用于 .edu 域的 DNSSEC。威瑞信启用用于 .net 域的 DNSSEC。
2011 3 月,威瑞信在 .com 上启用了 DNSSEC,强化了威瑞信托管的 DNS 服务。59 个 TLD 使用根区域的已签署委托进行签名。
2012 1 月,Comcast 宣布其客户正在使用 DNSSEC 验证解析程序。截止 3 月份,已签名的 TLD 数量增加至 90。
2013 3 月,谷歌宣布其公共 DNS 服务实施 DNSSEC 验证。
2016 10 月,威瑞信通过将 ZSK 大小增加到 2048 位来加强根区域的 DNSSEC。
2018 10 月,威瑞信、IANA 和 ICANN 执行了第一次根区域 KSK 重置。
2019 1,390 个 TLD 使用根区域的已签署委托进行签名。
2023 Verisign upgrades the algorithm used for signing domain names in the .com, .net, and .edu zones, transitioning from algorithm 8 (RSA) to algorithm 13 (ECDSA), allowing for smaller signatures and improved cryptographic strength.