对DNS安全的所有问题而言，域名系统安全协议(DNSSEC)是不能包治百病的。它不能够终止路过式(drive-by)攻击、拒绝服务攻击或其他任何类型的利用社会工程学和基于顶端DNS保护服务的攻击。但它确实可以有效阻止病毒攻击和DNS骑劫，而这正是互联网电子商务的一个重大的威胁。

　　DNSSEC正在稳步发展，早期的采用者已经开始不断发展制订技术标准和培训资料，以用来升级系统和对设备进行适当配置以适应DNSSEC。那些属于.gov域的联邦机构都必须在2009年年底前使用DNSSEC。而.Org是第一个应用了DNSSEC的域。截至到本周，已有6000个使用.edu 类域名的教育机构注册了DNSSEC的服务。预计在2011年.net和.com类域名也会注册DNSSEC的解析服务。

　　在这次采访中，PIR的管理总监(负责管理.org域名和Ram Mohan)Lance Wolak表示，他和Afilias公司的执行副总裁Ram Mohan共同分享他们在此项目上的经验，并展望了今后的DNSSEC部署的道路。对DNS安全的所有问题而言，域名系统安全协议(DNSSEC)是不能包治百病的。它不能够终止路过式(drive-by)攻击、拒绝服务攻击或其他任何类型的利用社会工程学和基于顶端DNS保护服务的攻击。但它确实可以有效阻止病毒攻击和DNS骑劫，而这正是互联网电子商务的一个重大的威胁。

　　DNSSEC正在稳步发展，早期的采用者已经开始不断发展制订技术标准和培训资料，以用来升级系统和对设备进行适当配置以适应DNSSEC。那些属于.gov域的联邦机构都必须在2009年年底前使用DNSSEC。而.Org是第一个应用了DNSSEC的域。截至到本周，已有6000个使用.edu 类域名的教育机构注册了DNSSEC的服务。预计在2011年.net和.com类域名也会注册DNSSEC的解析服务。在这次采访中，PIR的管理总监 (负责管理.org域名和Ram Mohan)Lance Wolak表示，他和Afilias公司的执行副总裁Ram Mohan共同分享他们在此项目上的经验，并展望了今后的DNSSEC部署的道路。

　　问：.org是第一个登录到DNSSEC的顶级域名。该项目是从什么时候开始的?为什么.org会成为第一个?

　　Lance Wolak：我们于6月2日成功的在.gov域实施DNSSEC，这是我们在实施中迈出的第一步，也是DNSSEC测试阶段的开端，.Gov最近也开始部署DNSSEC。虽然.Gov和.org属于通用顶级域名(GTLD)，但它们却是受到高度限制的GTLD。作为首个开放式的GTLD，.org正处于蓬勃发展中。1050万个已注册的域名对于通用顶级域这个领域来说，这个数字实在是一个重要的里程碑。

　　Ram Mohan：对于全球超过25个地点的.org类域名的解析服务器来说，都必须有效地回应来自任何地方符合DNSSEC规范的解析请求，同时还要对请求进行通畅的响应。此外，.org还会在.org之下的空间加入其他域名。我们需要确保这些工作能够顺利的进行，而且我们已经开始开发一个程序，该程序能够确保处理域名的事务不会受到影响。我们也需要确保能够与今天操作域名一样，达到顺畅地从一个注册商的域名转到另一种域名的目的。

　　问：Afilias已经提供了.gov的援助?

　　Mohan：有人要求我们提供一些专业的意见，以及共享自己与美国政府合作的经验。为此我们将提供一些具体的意见，这些意见来自于我们委员会里的专家，以及我们同公共注册部门的合作中实施.org所积累的专业技术知识。需要学习的东西很多：例如，我们了解到，NSEC3数据是非常好的顶级域名基础，因为你不愿看见不明身分的人士提取你所有的文件，并对这些文件进行恶意的操作。我们还了解到，实施DNSSEC是以付出DNS查询和响应时间性能的降低为代价的，因为数据包比原来要大得多。所以，我们建议在提供域名解析的根(root)服务器中，改用NSEC代替NSEC3作为，因为大家都知道这个根服务器。他们也知道所有根服务器服务的顶级域名。 NSEC3增加了额外的加密文件校验操作(hash)，使得你不能真正猜测出下一个条目的区域文件，并且不能为任何目的而无视任何法律约束或协议地使用它。但在根区域，大家都知道这只会包含国家代码(如cn，jp)和其他顶级域名。提高这个已经具有很好的加密标准的做法是没有额外价值的。

　　问：NSEC和NSEC3是否会增加带宽的需求呢?

　　Mohan:的确是这样，但有一个显著性差异，这个差异仅仅是因为NSEC3增加了额外的关于NSEC顶层的hash算法。和NSEC相比，NSEC3对带宽的要求更高一些。我们在自己的实验室测试中发现，NSEC增加了约5%的查询时正常响应负荷。但我们发现NSEC3则达到了15%。不同的人可能会有不同的看法，15%的可能会是一个很大的数字。在我们的实际观测中，我们得到了部署DNSSEC的.org类域名的测试结果，并且真正看到了传输控制协议(TCP)查询的显著增加，超过了一个用户数据报协议(UDP)数据包的大小。这与我们的预期基本相符，这是由于某些DNS解析服务器在配置上存在缺陷。而在NSEC3下，我们看到，TCP的流量相比于UDP通信增加了600倍。对于解析.org的域名解析服务器来说，这的确有些应付不过来。而作为测试结果而言，这其实与NSEC没有多大的区别。为此我们的已经给美国政府提出了一些意见，要小心地分配顶级的域名解析服务器，具体来说就是满足NSEC3与NSEC的较量的各自需求。