DNSSEC tuo kriittisen turvallisuuden paikkaan, jossa Internetissä ei todellakaan ole mitään. Verkkotunnusjärjestelmä (DNS) toimii hyvin, mutta prosessin missään vaiheessa ei ole vahvistusta, joka jättää reiät auki hyökkääjille.
Nykyinen asioiden tila
Olemme selittäneet, miten DNS toimii aiemmin. Pähkinänkuoressa, kun muodostat yhteyden verkkotunnukseen, kuten "google.com" tai "howtogeek.com", tietokoneesi yhteyttä DNS-palvelimeen ja etsii kyseisen verkkotunnuksen IP-osoitteen. Tietokone liittää sitten kyseisen IP-osoitteen.
Tärkeää on, että DNS-haussa ei ole vahvistusta. Tietokone pyytää DNS-palvelimelta verkkosivustoon liittyvää osoitetta, DNS-palvelin vastaa IP-osoitteella ja tietokone sanoo "okei!" Ja onneksi yhteydessä kyseiseen verkkosivustoon. Tietokoneesi ei pysähdy tarkistamaan, onko tämä kelvollinen vastaus.
HTTPS-salaus antaa jonkin verran vahvistusta. Oletetaan esimerkiksi, että yrität muodostaa yhteyden pankin verkkosivustoon ja näet HTTPS: n ja lukkokuvakkeen osoitekenttään. Tiedät, että sertifiointiviranomainen on todennut, että kyseinen sivusto kuuluu pankkiisi.
Pankillasi ei ole tapaa sanoa "Nämä ovat oikeita IP-osoitteita verkkosivuillamme."
Miten DNSSEC auttaa
DNS-haku toimii tosiasiallisesti useissa vaiheissa. Esimerkiksi, kun tietokone pyytää www.howtogeek.com, tietokone suorittaa tämän haun useaan vaiheeseen:
- Se kysyy ensin "root zone -hakemistosta", missä se löytää .com.
- Sitten se pyytää. Com-hakemiston, josta se löytää howtogeek.com.
- Sitten kysyy howtogeek.com, josta se voi löytää www.howtogeek.com.
DNSSEC sisältää "juuren allekirjoittamisen". Kun tietokone kysyy juurivyöhykkeeltä, josta se voi löytää. Com, se voi tarkistaa juurivyöhykkeen allekirjoituksen avaimen ja vahvistaa, että se on oikeutettu juurivyöhyke, jossa on oikeat tiedot. Juurivyöhyke antaa sitten tietoja allekirjoituksen avaimesta tai.com ja sen sijainnista, jolloin tietokoneesi voi ottaa yhteyttä.com-hakemistoon ja varmistaa, että se on oikeutettu..Com-hakemistossa annetaan allekirjoituksen avain ja tiedot howtogeek.com-sivustolle, jolloin se voi ottaa yhteyttä howtogeek.com-sivustoon ja varmistaa, että olet yhteydessä todelliseen howtogeek.com-sivustoon.
Kun DNSSEC on täysin avattu, tietokoneesi voi vahvistaa, että DNS-vastaukset ovat oikeita ja tosia, mutta tällä hetkellä ei ole mitään keinoa tietää, mitkä ovat väärennöksiä ja mitkä ovat todellisia.
Mikä SOPA olisi tehnyt
Joten miten Stop Online Piratismia koskeva laki, joka tunnetaan paremmin nimellä SOPA, pelataan kaiken tämän? Jos olet seurannut SOPAa, huomaat, että sen kirjoittajat ovat ihmisiä, jotka eivät ymmärtäneet Internetiä, joten se "murtaisi Internetin" monin tavoin. Tämä on yksi niistä.
Muista, että DNSSEC sallii verkkotunnusten omistajien allekirjoittaa DNS-tietueet. Joten esimerkiksi thepiratebay.se voi käyttää DNSSEC: tä määrittelemään IP-osoitteet, joihin se liittyy. Kun tietokone suorittaa DNS-haun - oli kyseessä google.com tai thepiratebay.se - DNSSEC sallisi tietokoneen päättää, että se saa oikean vastauksen verkkotunnuksen omistajien validoimana. DNSSEC on vain protokolla; se ei yritä erottaa "hyviä" ja "huonoja" verkkosivustoja.
SOPA olisi pyytänyt Internet-palveluntarjoajia ohjaamaan DNS-hakuja "huonoille" verkkosivustoille. Esimerkiksi jos Internet-palveluntarjoajan tilaajat yrittävät käyttää thepiratebay.se-palvelua, ISP: n DNS-palvelimet palauttaisivat toisen verkkosivuston osoitteen, joka ilmoittaisi heille, että Pirate Bay oli estetty.
DNSSEC: n kanssa tällainen uudelleenohjaus ei olisi erotettavissa keskenään olevasta miehestä, jonka DNSSEC oli suunniteltu estämään. DNSSEC: n käyttöön ottavien Internet-palveluntarjoajien olisi vastattava Pirate Bayn varsinaiseen osoitteeseen ja rikkovat siten SOPAa.SOPA: n sijoittamiseksi DNSSEC: llä pitäisi olla suuri aukko leikattu, mikä mahdollistaisi sen, että Internet-palveluntarjoajat ja hallitukset voivat ohjata verkkotunnuksen DNS-pyyntöjä ilman verkkotunnuksen omistajien lupaa. Tämä olisi vaikeaa (jos ei mahdotonta) tehdä turvallisella tavalla, todennäköisesti avaamalla uusia suojausreikiä hyökkääjille.
Onneksi SOPA on kuollut ja toivottavasti ei tule takaisin. DNSSEC on parhaillaan käytössä, mikä tarjoaa pitkäaikaisen korjauksen tästä ongelmasta.