Ci sarà da aspettare ancora un po’ più di un anno per il definitivo passo in avanti per la sicurezza su Internet. A prometterlo è VeriSign, il gigante americano della sicurezza e dei certificati digitali, che è pronto a scommettere, e a promettere, di stroncare una volta per tutte uno dei pericoli maggiori che minaccia la rete.
Secondo VeriSign il problema è da identificare nel funzionamento del DNS, il protocollo che traduce i nomi mnemonici (comodi per gli umani) negli indirizzi IP (comodi per le macchine). La soluzione è stata individuata nella recente RFC 5155, nella cui stesura VeriSign ha avuto un certo peso, che introduce nel DNSSEC una nuova estensione denominata NSEC3.
Prima d’ora la versione sicura del DNS, il DNSSEC per l’appunto, non era mai stato usato sui domini di primo livello (.com e.net ad esempio) perché la distribuzione su larga scala delle firme digitali necessarie era un’impresa titanica che avrebbe messo KO la quasi totalità dei server DNS.
La nuova estensione permette di ovviare a questo problema, rendendo DNSSEC un’alternativa valida anche per l’utilizzo globale, rendendo impossibile attacchi di tipo cache poisoning (la sostituzione nella cache dei server DNS di indirizzi validi con indirizzi contraffatti), vulnerabilità che ha già rischiato di mettere in ginocchio l’intero Web. Rischio che dal 2011 sarà definitivamente scongiurato. Si spera.