在DNSSEC部署前确保安全还需做什么(3)_『尊米网』域名资讯平台

尽管这五个方面的问题都属于很重要，但和第二类在政治姿态和不信任度方面面临的挑战相比，就是小儿科了。它包括了：

·美国政府希望控制根域名服务器信任定位点的密钥。而其他国家对于美国对互联网的过分控制是相当关注的。对于很多国家来说，互联网由任何一个国家集中控制都是不可能被接受的。

· 目前尚不清楚互联网域名与地址管理机构对.ca之类由各国自行管理的顶级国家域名将采取什么样的处理办法。

· 一些国家的政府厌恶加密措施。它们是否会试图禁止域名系统安全协议(DNSSEC)支持加密密钥分配?

某些安全和互联网领域的专业人士利用这些面临的挑战作为理由，拒绝域名系统安全协议(DNSSEC)的部署。这一假设的前提是，它不能被全球接受。但是，全球接受对于让域名系统(DNS)变得更可靠来说不是必须的前提。

隔离的信任

即使没有开始在全球范围内实施，域名系统安全协议(DNSSEC)也可以通过逐步实施改善域名系统(DNS)传输信息的安全性。如图二所示。

图二

代替了来自根域名服务器的信任定位点，这是采用了域名系统安全协议(DNSSEC)的英国域名系统(DNS)。它可以被当作是受到某种限制的公司内部网域与子网域来看看待。在其它级别的域名系统(DNS)采用域名系统安全协议(DNSSEC)之前，这些岛屿之间可以通过交换密钥轻松地建立如图三所示的信任关系。