.ORG 域(yu)名屬于 PIR(Public Interest Registry) 頂級(ji)域(yu)名(gTLD - generic top level domain)，用于非贏利性(xing)組織(zhi)，它(ta)也將成為最安全的域(yu)名，因(yin)為 .ORG 即將采用 DNSSEC (DNS Security Extensions)擴展，這是一個(ge)附(fu)加在 DNS 上(shang)的額外的安全擴展層。

　　.ORG 域名對 DNS 安(an)全的(de)(de)改進(jin)來得正是時候，安(an)全專(zhuan)家(jia) Dan Kaminsky 最近發(fa)布了 DNS 系統(tong)的(de)(de)一個(ge)嚴(yan)重漏(lou)洞(請參閱：DNS 漏(lou)洞細節被泄露，攻(gong)擊即將開始，以及DNS 漏(lou)洞發(fa)現者 Dan Kaminsky 訪談錄)，而 DNSSEC 可能是該問題的(de)(de)一個(ge)最好的(de)(de)長(chang)期(qi)解(jie)決方案。

　　.ORG's CEO Alexa Raad 告訴 InternetNews.com，DNSSEC 會解決 DNS 的(de)一個非(fei)常(chang)現(xian)實的(de)問題(ti)(ti)，.ORG 一旦采用該技術就會變得(de)非(fei)常(chang)安全，盡(jin)管還有其它的(de)安全問題(ti)(ti)，但(dan) DNSSEC 解決了訪問綁(bang)架問題(ti)(ti)。

　　DNSSEC 提供了對(dui) DNS 的(de)(de)(de)簽名(ming)校驗，該機制保證了 DNS 的(de)(de)(de)準確(que)，Kaminsky 發現的(de)(de)(de) DNS 漏洞中，未經安全(quan)防護(hu)的(de)(de)(de) DNS 查詢在用戶毫不知情的(de)(de)(de)情況下(xia)，被綁架到偽造(zao)的(de)(de)(de)地址。

　　DNS 服務(wu)商，包括開源 BIND DNS 服務(wu)器(qi)的主要發起者 ISC，以及微軟等，已(yi)經對(dui)他們的 DNS 架(jia)構進行升(sheng)級(ji)以使 DNS 毒藥攻擊更難發生。而(er) Kaminsky 以及 ISC 等組織呼吁，DNSSEC 才是解決(jue)這(zhe)個(ge)問(wen)題(ti)的長(chang)期有效的方案。

　　就在(zai)(zai) Kaminsky 公開 DNS 漏洞后的(de)幾個周， PIR 首先在(zai)(zai)7月份宣布(bu)，他們將在(zai)(zai) .ORG 域(yu)名(ming)體系(xi)中(zhong)采用 DNSSEC。Raad 稱，PIR 宣布(bu)采用 DNSSEC 并不僅僅因為 Kaminsky 發現的(de)漏洞，事實(shi)上，PIR 兩(liang)年前就已經染指 DNSSEC。

　　然而，PIR 計劃(hua)采用 DNSSEC 并(bing)不意味著(zhu)現(xian)在的 .ORG 域(yu)名已(yi)經安全了(le)，事實(shi)上，通往 DNSSEC 完整應(ying)用的路(lu)還長(chang)。

　　Raad 表示，一(yi)(yi)(yi)切進(jin)(jin)展很(hen)順利(li)，這并不是(shi)一(yi)(yi)(yi)個(ge)產品的(de)(de)(de)發布，而是(shi)一(yi)(yi)(yi)個(ge)漸進(jin)(jin)的(de)(de)(de)過(guo)程。我們(men)是(shi)第一(yi)(yi)(yi)家實施 DNSSEC 的(de)(de)(de)頂級域名，我們(men)將分幾個(ge)步驟進(jin)(jin)行，我們(men)已經和不少有興趣的(de)(de)(de) .ORG 注冊(ce)商談過(guo)，他們(men)當中很(hen)多是(shi)大的(de)(de)(de)托管商。我們(men)在2009年以后，會(hui)進(jin)(jin)入下一(yi)(yi)(yi)步工作，就是(shi)說服更多注冊(ce)商。

　　PIR 的(de)(de) .ORG 技(ji)術提(ti)供商(shang) Afilias 公(gong)司的(de)(de) CTO Ram Mohan 解釋道(dao)，Internet 的(de)(de)頂端是(shi)那些根(gen)級域(yu)名服(fu)務(wu)器，這其中包含　.ORG。在　DNSSEC 機制下(xia)，域(yu)名所(suo)有者(zhe)首(shou)先創建一個(ge)簽名，提(ti)交(jiao)給注冊商(shang)，注冊商(shang)通過安(an)全(quan)通道(dao)提(ti)交(jiao)給PIR，PIR 會將這個(ge)安(an)全(quan)簽名同 DNS 中的(de)(de)信息結(jie)合(he)，接(jie)著，在幾秒種之(zhi)內，你的(de)(de)域(yu)名就會被驗證并傳遍全(quan)球。

　　然而將全球的(de) DNS 分(fen)布(bu)系統(tong)統(tong)一(yi)實施 DNSSEC 是個(ge)(ge)挑戰。Raad 表示，不過，Kaminsky 漏洞讓這個(ge)(ge)問(wen)題(ti)較容易得到正視(shi)，除此(ci)之外，還(huan)存(cun)在著技(ji)術問(wen)題(ti)，在眾多的(de)程(cheng)序和工具中(zhong)采(cai)用(yong) DNSSEC，測試，并分(fen)發到最(zui)終用(yong)戶也不是件容易的(de)事情。

　　不過，DNSSEC 的(de)采用將是(shi)一個漸(jian)進的(de)過程，最先會在一些大的(de)注冊(ce)商(shang)那里試驗(yan)，獲得經驗(yan)，再一步一步向所有注冊(ce)商(shang)推(tui)廣。

　　負責 .COM 域名的 VeriSign 也對(dui) DNSSEC 進行了研究，然而 InternetNews.com 在(zai)對(dui) VeriSign CTO Ken Silva 的采(cai)訪中，后者表示，SSL 證書在(zai) DNS 安全方面起著主要的作(zuo)用。

　　Mohan 對 SSL 并無(wu)異(yi)議(yi)，但他認(ren)為 SSL 和 DNSSEC 解決(jue)的并非同一個問題。受 SSL 保護(hu)的站點，即使使用的是 EV-SSL 仍(reng)會被綁架。他表示，絕大多數用戶只(zhi)是通過鏈(lian)接進入(ru)，如果 DNS 信息(xi)綁架，用戶仍(reng)然(ran)會進入(ru)錯誤(wu)的站點。

　　SSL 并(bing)不能(neng)解決(jue)(jue)綁(bang)架問題，它解決(jue)(jue)的是(shi)另(ling)外(wai)的問題。Mohan 說，從這個意(yi)義(yi)上(shang)說，DNSSEC 是(shi)唯一有(you)效與可靠的方法。SSL 是(shi) VeriSign 是(shi)收(shou)入來源(yuan)，采(cai)用 DNSSEC 并(bing)沒有(you)利益(yi)可獲。

　　在 .ORG 中(zhong)使用(yong) DNSSEC 并不(bu)是處于商(shang)(shang)業考慮(lv)。Raad 說，我(wo)們是非贏利性(xing)注(zhu)冊商(shang)(shang)，我(wo)們的(de)動(dong)機是在比較長的(de)時(shi)間(jian)內對 Internet 有所幫(bang)助(zhu)。我(wo)們希(xi)望在將來分享我(wo)們的(de)經驗，以便讓更多(duo)的(de)注(zhu)冊商(shang)(shang)改善(shan)他們的(de) DNS 安全架構。