安全专家考虑为他们所在的领域使用新的协议来改进DNSSEC，使它支持身份认证，但他们不确定他们的组织是否已经准备支持过渡。

　　上星期二，在2011的RSA会议讨论过程中，一个专家组试图减缓人们的担忧。DNSSEC, 或者叫DNS安全扩展，是一系列在DNS中引入了PKI的协议集。协议变更背后的网络专家们正在稳健推进步伐，去年已经完成对根区域进行数字签名。政府机构已经开始实施DNSSEC，从.org和 .net，不久将推广到 .com。

　　至少，在这次RSA信息大会出席者中，有一位来自加拿大的一家重要电信公司，他提出了自己的问题，即在处理这个新协议的时候，如何才能证实在新设备研发上的投资是正当的、合理的。（DNSSEC需要占用了更大的带宽，一些系统并不支持）。他指出：“现在就来评估实行这一新协议需要的费用以及问题都太早了”。

　　安全专家已经清楚从DSN协议遗留下来的不足之处，但是直到2008年网络安全专家Dan Kaminsky发现了一系列缓存的致命bug，问题才突显出来。黑客利用这个漏洞能将合法网站重定向到仿冒网站上，然后可能进行网络钓鱼或者SQL 注入攻击。随着一步步深入的发现，DNS方案提供商提供了一系列的补丁，然而Kaminsky和其他人指出，补丁只是用来短期修补漏洞的。

　　Kaminsky以前在IOActive科技公司，现在在纽约创立一家初创公司Recursion Ventures。Recursion公司计划提出能支持DNSSEC协议的安全技术。

　　为了阻止缓存中毒，长期办法是DNSSEC，但更好的是，它能允许进一步的身份认证，使网络传输更加安全。实际上，它提供一种额外的认证方法。比如，现在邮件的使用DNS去寻找邮箱服务器的IP地址。但是，它无法依靠DNS找到密匙进行深入一步的身份认证，Kaminsky说道。

　　“更大一些的ROI和很多不适用的安全技术挂钩。智能卡不具有可扩展性，安全电子邮件不具有可扩展性。很多跨组织边界的技术都不能扩展。”Kamsinsky说，“所有这些安全技术都没有得到扩展，因为没有使用我们最有效的技术进行扩展。DNSSEC正在改变这种情况，你必须搭建新环境去适应它，所以就涉及到ROI。”

　　一旦 .com命名惯例出台，企业就可以测试DNSSEC，Nominum公司董事长兼首席科学家Paul Mockapetris说道（Nominum是一个在DNS、DHCP服务器供应商和IP 地址基础架构解决方案方面领先的供应商），其价值在于DNSSEC提供了更强的安全性能，但Mockapetris也承认，在刚开始的时候，一些公司可能会遇到安装的问题。

　　“DNSSEC虽然能进行源端的随机变换，但它也有可能发生误判，所以企业组织必须确认他们的DNS软件已经更新。”，Mockapetris补充道。

　　领域的数字签名。他说道，企业可以对已经使用DNSSEC协议的服务器打开验证。特殊的浏览器插件使得员工应用该项技术成为可能。

　　早日得以实施。除了实施问题，“我们将开始进行数字签名响应机制”，他对RSA会议与会者如是说。这意味着，一旦全面支持DNSSEC，身份认证将更好的用以进行文件和记录的保护。