【独家采访:ICANN技术总监解答】 技术总监

　　一个陌生的热门新词 　　 　　搜索一下“DNSSEC”(Domain Name System Security Extensions,域名系统安全扩展),找到相关新闻589篇,这对于知道域名的人来说,明显是有点“明眼人说胡话”,再从这近600篇相关新闻中找几篇近期标题看一下,不禁让人看后倒吸了几口凉气:
　　
　　2月8日《工信部通知要求加强域名系统安全保障工作》――跟踪全球DNSSEC部署应用情况,做好相关配套工作。
　　
　　3月3日《威瑞信新建实验室测试互联网解决方案》――威瑞信(VeriSign)公司日前邀请互联网行业领导者加入由威瑞信新建立的,并由思科系统、瞻博网络等厂商共同参与的域名系统安全扩展协议(DNSSEC)互通实验室。
　　
　　3月9日《聚焦2010年亚太区互联网三大专业会议》――新的域名安全体系(DNSSEC)部署:域名系统安全扩展协议已经进入全球根服务器部署阶段,这是这次APTLD请ICANN的CTO作了一个专题报告中的内容。预计5月5日基本上在全球13台根服务器中部署升级完毕。
　　
　　5月4日《DNSSEC将会改变互联网未来》――由ICANN、美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC升级,DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改的。DNSSEC是为阻止中间人攻击而设计的,利用中间人攻击,黑客可以劫持DNS请求。
　　
　　5月5日《DNSPod:关于此次ICANN大规模部署DNSSEC》――据DNSPod的观察,ICANN已经成功地把DNSSEC部署到13台根DNS服务器上。此次部署之紧张,令人始料未及,ICANN事前没有足够的通知,或许背后会有更加深层次的原因。根据了解,2003年以前生产的网络设备,有不少不支持DNSSEC,这意味着大量运营商都需要升级他们的网络设备。对于来不及升级网络设备的运营商来说,可能会造成他们的用户无法正常解析一个域名,甚至会因为无法解析域名而引起一些小规模的DNS请求风暴。所以未来几天内,可能会有部分地区用户所用的DNS不正常,会经常解析失败,甚至无法解析,但这些情况会随着运营商升级设备逐渐解决。
　　
　　5月7日《卢松松:谈谈DNS根服务器升级》――最近有个老猛的话题:5月5日,由ICANN、美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC升级。DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改的。目前在澳大利亚东海岸已经开始升级了,看了那里网友的评论,大都说变化不大。
　　
　　ICANN技术总监解答DNSSEC协议对用户访问影响问题
　　
　　为了了解DNSSEC部署完成后,全球用户在访问某一域名相应网站时有什么不良影响,本报记者于5月10日和11日,独家采访ICANN负责基础部署、管理根服务器、IPv6部署、DNSSEC部署(Security,Stability and Resiliency)问题的高级技术总监 John Crain 先生,下面是我们交流中的几个关键对话:
　　
　　记者:近几天有中文媒体报道说,用户电脑在DNSSEC部署了之后,一些网站可能访问不了,这是真的吗?
　　
　　John Crain:可能是旧的服务器系统吧。记者:是不是因为一些ISP/IDC不愿意支持DNSSEC部署升级?
　　
　　John Crain:不是,只需一段时间,所有软件都会完全支持DNSSEC。
　　
　　记者:到现在为止,有没有见到因部署了DNSSEC而出现访问不正常报告?
　　
　　John Crain:未见任何不正常的报告。从 John Crain 先生介绍的情况看,部署DNSSEC是一种技术升级,而且它对用户访问网站不会存在什么异常的情况,大家可以不必为此而担忧。
　　
　　背景资料:什么是DNSSEC?
　　
　　Domain Name System Security Extensions(DNSSEC)域名系统安全扩展,是由I-ETF提供的一系列DNS安全认证的机制。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。