DNSSEC的部署

　　互联网工程技术领域普遍认为DNSSEC是增强互联网基础设施安全非常关键的一步，比如，美国国土安全部发起了DNSSEC部署计划，美国网络空间国家战略安全明确要求部署DNSSEC。DNSSEC的大规模部署还可能解决其他的安全问题，比如密钥的分发和安全的电子邮件。

　　尽管互联网工程界认为DNSSEC 非常重要，但是大规模的部署仍然非常谨慎。巴西 (.br)、保加利亚 (.bg)、捷克 (.cz)、波多黎各 (.pr) 和瑞典 (.se), 很早就开始在他们国家的顶级域名上部署DNSSEC，IANA在2007年开始在一个根域名服务器上进行签名试验。许多机构在DNSSEC的部署上付出了巨大的努力。

　　在ICANN和VeriSign的推动下，2010年7月，所有13个根域名服务器都对根域签名完毕且投入运营。顶级域名(如.org, .net等)也在计划之中，有些国家级的顶级域名服务器(如.cz、.jp、.us、.fr等)已经完成了这一任务。

　　国际上一些大的ISP 已经开始部署支持DNSSEC的解析服务器，以保护他们接入用户的安全，美国Comcast 公司是其中的先驱者之一。

　　作者认为如果DNSSEC能够普遍部署，可能对互联网的安全体系产生重大的影响；因为有了DNSSEC的数字签名，把DNS作为密钥分发的PKI在很多应用场合已经具有了可行性。它不仅仅可以加强DNS系统本身的安全，作为网络的基础设施，还给其他的应用，特别是端到端的移动通信、IPv6网络环境的安全问题提供新的解决办法。

　　但是作者也认为，离这一目标的实现还有很长的路要走。一方面DNSSEC自身的协议还在发展，另一方面其他的应用要想利用DNSSEC的机制还需要大规模的研究试验和最后的标准化。另外，DNSSEC在某些国家是否会遭遇政策性的阻碍，也是个未知数。

　　尽管如此，因为DNS对互联网实在太重要了，如果DNSSEC是通往一个安全可靠的互联网基础设施的必由之路(目前作者还没有看到可以替代DNSSEC的其他解决方案)，为此付出代价，也是别无选择的。

　　(作者单位为清华大学信息网络工程研究中心)