域名
DNSSEC
从端到端验证互联网。
开发域名系统安全扩展 (DNSSEC) 的鼻祖
威瑞信从 2000 年开始涉足 DNSSEC 的开发,我们工程师在 DNSSEC 散列认证否认存在 (NSEC3) 协议的制定中起到了带头作用。随着 DNSSEC 实施和采用的推进,我们将继续与互联网技术社区合作,加入行业组织。
DNSSEC 可以帮助保护用户不被转到诈骗网站和非预期地址,从而提高用户对互联网的信任。
2010 年 7 月,威瑞信与互联网数字分配机构 (IANA) 和美国商务部 (DoC) 合作,在根区域(域名系统 (DNS) 层次结构的起点)完成了 DNSSEC 的部署。威瑞信还在 2010 年 7 月与 EDUCAUSE 合作在 .edu 上启用了 DNSSEC,并于 2010 年 12 月与美国国家电信和信息管理局 (NTIA) 合作在 .net 上以及 2011 年 3 月在 .com 上启用了 DNSSEC。自 2011 年以来,DNSSEC 的采用取得了进展,几乎所有顶级域 (TLD) 都采用了 DNSSEC,并且使用了在根区域发布的签署委托。
此外,我们还采取多项措施帮助互联网生态系统的成员利用好 DNSSEC。这些措施包括:发行技术资料、提供操作测试环境、开设培训课程以及参加行业论坛。
威瑞信扮演着互联网安全卫士的角色。作为 .com 和 .net 注册机构,同时也是关键互联网基础设施服务的提供商,我们的任务是保护互联网社区免受不断出现的新网络威胁,同时推动互联网的创新工作。我们的 DNSSEC 工作是现行关键互联网基础设施巩固和投资努力的另一举措。
DNSSEC 时间表
| 1990 | 发现 DNS 中的主要缺陷并开始关于 DNS 安全的对话。 |
| 1995 | DNSSEC 成为互联网工程任务组 (IETF) 中的正式主题。 |
| 1999 | 完成 DNSSEC 协议 (RFC2535) 并开发 BIND9 作为第一次具有 DNSSEC 功能的实施。 |
| 2001 | 密钥处理产生运行问题,使 DNSSEC 部署无法用于大型网络。IETF 决定改写协议。 |
| 2005 | 在多个 RFC — 4033、4034 和 4035 中改写了 DNSSEC 标准。10 月,瑞典 (.se) 在其区域启用了 DNSSEC。 |
| 2007 | 7 月,ccTLD .pr(波多黎各)启用了 DNSSEC,之后,.br(巴西)在 9 月启用,.bg(保加利亚)在 10 月启用。 |
| 2008 | NSEC3 标准 (RFC 5155) 发布。9 月,ccTLD .cz(捷克共和国)启用了 DNSSEC。 |
| 2009 | 威瑞信和 EDUCAUSE 创建了 DNSSEC 测试平台来选择 .edu 注册人。威瑞信和 ICANN 签署根区域用于内部使用。ICANN 和威瑞信使用密钥签名密钥 (KSK) 对区域签名密钥 (ZSK) 进行签名。 |
| 2010 | 在社区评估和测试期之后,第一个根服务器开始服务已签名的根区域。ICANN 举办了第一届 KSK 典礼。ICANN 发行根区域信方公钥(信任锚),且根区域操作员开始使用实际关键字服务已签名的根区域 — 已签名的根区域可用。威瑞信和 EDUCAUSE 启用用于 .edu 域的 DNSSEC。威瑞信启用用于 .net 域的 DNSSEC。 |
| 2011 | 3 月,威瑞信在 .com 上启用了 DNSSEC,强化了威瑞信托管的 DNS 服务。59 个 TLD 使用根区域的已签署委托进行签名。 |
| 2012 | 1 月,Comcast 宣布其客户正在使用 DNSSEC 验证解析程序。截止 3 月份,已签名的 TLD 数量增加至 90。 |
| 2013 | 3 月,谷歌宣布其公共 DNS 服务实施 DNSSEC 验证。 |
| 2016 | 10 月,威瑞信通过将 ZSK 大小增加到 2048 位来加强根区域的 DNSSEC。 |
| 2018 | 10 月,威瑞信、IANA 和 ICANN 执行了第一次根区域 KSK 重置。 |
| 2019 | 1,390 个 TLD 使用根区域的已签署委托进行签名。 |
| 2023 | Verisign upgrades the algorithm used for signing domain names in the .com, .net, and .edu zones, transitioning from algorithm 8 (RSA) to algorithm 13 (ECDSA), allowing for smaller signatures and improved cryptographic strength. |