網絡安全﹕網絡域名新時代

文章日期:2018年11月14日

【明報專訊】近日全球域名管理機構ICANN(Internet Corporation for Assigned Names and Numbers)自2010年為互聯網根域名服務器以DNSSEC(域名系統安全擴充,Domain Name System Security Extensions)協定加密後,首次更換鎖匙,引來一連串的通告,提醒各互聯網供應商更新系統。有「流言」傳出,說全球互聯網因系統升級要關閉48小時。幸好「虛假新聞」炒不起,而根域名服務器的私匙更新(KSK Rollover)亦順利完成,並未造成網路中斷。

雖然更新順利,但其中一個原因,很可能是網絡上根本不多域名服務器開通了DNSSEC協定功能。業界的研究指出,只有約16%的網絡開通了DNSSEC協定。時至今日,很多網絡機構對於域名系統的保安,仍然非常欠缺。

域名系統DNSSEC協定亦有其弊處,尤其在於協定使用非對稱加密技術,令域名解釋的數據流量需求增加,而針對域名系統的攻擊亦常以分散式阻斷服務攻擊(DDOS)進行。由於DDOS的附帶損害較大,所以亦較受網絡保安人員重視。DNSSEC協定處理的是域名解釋結果的可信/權威性,除了預防假冒網站外,其相關協定更有助減低垃圾郵件及預防假冒電郵。

域名系統更新緩慢

事實上,網絡技術人員常常把域名系統視作黑盒,沒出大件事就不多注意。而且域名系統是幾乎每一個網絡程式及系統都依賴的網絡基礎建設,所以域名系統更新在這個高速發展的網絡世界中,不幸地以龜速進展。除了DNSSEC協定外,中文域名及通用域名的擴充亦然,中文及多語言域名技術協定的發展早於上世紀末已經展開,但至今仍然未能普及。除上述挑戰外,當中另一個原因是不同語言用於域名的連帶問題。

中文域名 涉及繁簡異體問題

以中文為例,正簡體(也稱「繁簡體」)對照的要求需要「異體字」列表及注冊政策發展的配合,有如英文大細楷寫法的狀况。試想像一個簡單的4字中文域名,便已經出現全正體、全簡體及多個正簡混合的「異體字」,其性質以幾何增長。其他語種,如阿拉伯文、印度文等也有同類情况。而這些不同的「異體字」,包括中文的正簡體,更埋藏着複雜的文化及政治爭論。

可幸的是,近廿年的國際性討論,最近取得了歷史性的里程碑。日前於北京舉行的中文域名協調聯合會會議中,兩岸四地的專家就歷史性地統一了的中文繁簡體對照的列表及政策,更首次正式在字表內加入了香港常用廣東話字。較早之前ICANN亦肯定了多語言域名的「異體字詞」要求,這些都為中文域名的普及化奠下新的機遇。

在保安的層面而言,系統對於中文(及多語言)域名的認知刻不容緩,假設域名只有英文字母的系統設計更是鴕鳥政策。應馬上進行系統的全面檢視,包括所有處理域名及電郵地址的數據庫、界面及運算程式,定下更新的路線圖,而在更新的過程中亦請不忘其他域名系統的技術升級。

文:鍾宏安(香港互聯網協會)

明報影片