Zarządzanie serwerami DNS oraz usługi potwierdzania tożsamości to najważniejsze elementy biznesu VeriSign chroniącego globalną infrastrukturę Internetu.

VeriSign jest znana przede wszystkim jako dostawca certyfikatów potwierdzających tożsamość i identyfikujących strony WWW lub użytkowników sieci i różnego typu związanych z tym usług. Jednocześnie istotnym elementem biznesu tej firmy jest zarządzanie dwoma rdzeniowymi serwerami DNS, które są odpowiedzialne za identyfikację nazw w podstawowych domenach.COM i.NET. VeriSign jest też jednym z najbardziej znanych dostawców technologii i usług infrastruktury klucza publicznego PKI.

W ostatnich latach VeriSign intensywnie promował związane z biznesem firmy technologie jak PKI, SSL/TLS (standardowe mechanizmy szyfrowania), EV (technika potwierdzania autentyczności i wiarygodności stron WWW) oraz mechanizmy podpisu cyfrowego. W ostatnich latach VeriSign wprowadził też do oferty nowe usługi, takie jak obsługa roamingu Wi-Fi, EPC Network Services - usługi przetwarzania numerów EPC etykiet RFID na nazwy produktów oraz technologię One-time-use security credentials (system generacji jednorazowych haseł, który może być zainstalowany np. w kartach kredytowych).

Ostatnio VeriSign zaczął jednak "wracać do internetowych korzeni" i koncentruje się na zarządzaniu serwerami DNS. Firma przetwarza dziennie 48 mld zapytań kierowanych do serwerów DNS zainstalowanych w 60 lokalizacjach. W momentach szczytowych przetwarzają one do 700 tys. zapytań na sekundę. VeriSign zainwestował w budowę i zabezpieczenia ich infrastruktury znacznie więcej środków finansowych niż wymagał kontrakt na ich obsługę zawarty z ICANN. Była to oczywiście decyzja biznesowa wzmacniająca pozycję firmy w biznesie związanym z obsługą DNS.

O obecnej sytuacji VeriSign, technologiach i planach mówi Kenneth J. Silva, CTO tej firmy.

Na początku tej dekady infrastruktura serwerów DNS kilkakrotnie została poddana atakom DoS, które wywołały poważne zakłócenia ich pracy. W ostatnich kilku latach takie sytuacje nie miały jednak miejsca. W jaki sposób udało się tak zmodyfikować systemy rdzeniowych serwerów DNS, aby stały się one odporne na tego typu ataki?

Jeśli chodzi o serwery DNS zarządzane przez nas, to nigdy nie zdarzyła się sytuacja, aby atak DoS spowodował ich całkowity paraliż. Wynika to z rozproszonej architektury systemu. Tego typu ataki, przede wszystkim DDoS (Distributed Denial of Service - przyp. red.) pojawiają się jednak regularnie i są coraz silniejsze, choć nie są tak widoczne jak kiedyś, bo żadnemu z nich jak dotąd nie udało się w odczuwalny sposób zakłócić pracy głównych serwerów DNS.

W lutym 2006 r. rozpoczęliśmy jednak realizację tzw. projektu Titan, którego podstawowym założeniem było rozbudowanie infrastruktury serwerów VeriSign, tak aby mogły obsłużyć ruch ponad 10-krotnie większy niż jest przewidywany. W efekcie nasz system jest też m.in. znacznie bardziej odporny na ataki DDoS. Project Titan zakłada 10 tys. razy większą przepustowość serwerów DNS do 2010 r. w porównaniu do sytuacji z 2000 r. Zwiększyliśmy ją już 1000-krotnie więc do wykonania planu pozostaje jeszcze jej 10-krotne zwiększenie. Wówczas nasz system DNS będzie w stanie obsłużyć 4 bln zapytań dziennie.

Dlaczego wprowadzenie nowych, zaawansowanych technik i protokołów zwiększających bezpieczeństwo - takich jak choćby DNSSec - nie zyskuje powszechnej akceptacji?

Niestety są to dość skomplikowane systemy, których efektywne funkcjonowanie wymaga nie tylko uzgodnienia jednego standardu akceptowanego przez wszystkich na świecie, ale również jego wdrożenia praktycznie w tym samym czasie. To naprawdę trudne zadanie.

Zagrożeniem dla bezpieczeństwa jest także fakt, że użytkownicy mają tendencję do ignorowania lub omijania komunikatów informujących o błędach podpisów cyfrowych. Stawia to pod znakiem zapytania rzeczywistą przydatność takiego systemu weryfikacji tożsamości. Co należałoby zrobić, aby to zmienić?

VeriSign ściśle współpracuje z firmami, które opracowują przeglądarki, aby pomóc w ulepszeniu ich interfejsów. Dzięki temu doświadczenia użytkowników - związane z korzystaniem z tego typu mechanizmów bezpieczeństwa - uległy zmianie. Trudno jednak oczekiwać, aby programy takie zostały wyposażone w zbyt rozbudowane i skomplikowane systemy zabezpieczeń. Trzeba też przyznać, że większość producentów przeglądarek wciąż wprowadza nowe, innowacyjne funkcje zabezpieczeń, przede wszystkim można tu wymienić technologię EV (Extended Validation).

EV polega na tym, że jeśli użytkownik przeglądarki obsługującej jej funkcje - np. Internet Explorer 7, Mozilla Firefox 2 lub Opera 9.5 - otworzy stronę zabezpieczoną przy wykorzystaniu techniki EV, to pasek z adresem zmienia kolor na zielony sygnalizując, że jest to strona bezpieczna. Certyfikat EV jest obecnie najlepszym z dostępnych zapewnień poziomu bezpieczeństwa. Z obserwacji praktycznych wynika, że coraz więcej użytkowników Internetu zwraca na to uwagę, bo w wypadku sklepów internetowych okazuje się, że znacznie rzadziej klienci rezygnują z zakupu w momencie, gdy pojawia się żądanie podania numeru karty kredytowej w wypadku, gdy strona ma certyfikat EV.

Krytycy techniki Extended Validation mówią, że w praktyce oznacza ona, że konsumenci muszą po prostu więcej zapłacić za bezpieczeństwo, które wcześniej miały zapewniać standardowe certyfikaty Class 3 Web. Jaka jest odpowiedź na taki zarzut?

Extended Validation daje firmom odpowiedzialnym za przyznawanie certyfikatów znacznie więcej możliwości i czasu na dokładne sprawdzenie wiarygodności właścicieli stron włącznie z ich statusem finansowym i rzeczywistą tożsamością. Oferując usługi potwierdzania autentyczności stron mających certyfikat EV zapewniamy, że właściciel strony jest dokładnie tym, za kogo się podaje, a domena należy do niego.

Takie same są zapewnienia VeriSign dotyczące certyfikatów Class 3 Web...

VeriSign zawsze starał się zapewnić wysoką jakość usług certyfikacji, ale więcej czasu na dokładną weryfikację oznacza wyższe bezpieczeństwo dla każdego. Oprócz tego przed wprowadzeniem EV, każda firma zajmująca się przyznawaniem certyfikatów Class 3 Web mogła tworzyć własne procedury i zasady badania wiarygodności. W efekcie użytkownicy nie byli w stanie porównać poziomu bezpieczeństwa różnych stron WWW, jeśli nie zdecydowali się na analizę zasad przyznawania certyfikatów przez różne firmy. Natomiast technologia EV jednoznacznie definiuje, jakie są wymagane procedury. Dlatego certyfikat ten jest jednolitym zabezpieczeniem, którego jakość jest niezależna od firmy uprawnionej do jego wydania.

Jaki będzie wpływ popularyzacji usług WWW, technologii SaaS i cloud computing na biznes VeriSign oraz infrastrukturę serwerów DNS w perspektywie 10 lat?

Każde nowe funkcje pojawiające się w Internecie, np. te związane z technologiami Web 2.0, mają wpływ na nasz biznes. Obecnie pojedyncza strona WWW generuje średnio ok. 20 zapytań DNS, a naszym zadaniem jest nie tylko przewidzieć wzrost ich liczby i odpowiednio zwiększyć wydajność serwerów DNS, ale również zapewnić niezawodność usług, zwłaszcza w obliczu popularyzacji takich czułych na ewentualne opóźnienia technologii, jak telefonia lub telewizja internetowa.

Wprowadzamy też usługi, które tworzą zupełnie nową jakość. Przykładowo jest to VeriSign Identity Protection Services, który ma umożliwić generację jednorazowego hasła lub tokenu w praktycznie każdym urządzeniu, jak np. telefon lub karta kredytowa. Jest to technologia uniwersalna, która daje znacznie większe możliwości niż jakakolwiek technika weryfikacji tożsamości stosowana dotychczas. Sądzę, że w przyszłości będzie można otwarcie ujawnić swoje hasło i wcale nie zmniejszyć przez to poziomu bezpieczeństwa danych osobistych. Bo mechanizmy autentykacji, weryfikacji tożsamości i zabezpieczeń przed ich kradzieżą będą rozproszone w sieci. Czy bowiem karty płatnicze lub kredytowe cieszyłyby się dziś taką popularnością, gdyby były obsługiwane tylko przez bank, które je wydał? Nie. Dlatego banki utworzyły sieć ATM i infrastrukturę, która umożliwia korzystanie z takich kart praktycznie wszędzie na świecie.

Na takiej samej idei oparte są właśnie VeriSign Identity Protection Services. Ma to być internetowy odpowiednik międzybankowej sieci ATM umożliwiający wykorzystanie jednokrotnego hasła lub tokenu w dowolnym miejscu w Internecie. Myślę, że warto wejść na stronę VeriSign Personal Identity Portal - pip.verisignlabs.com - gdzie dostępna jest wersja beta tych usług.

Kilka lat temu VeriSign zaczął inwestować w rozwiązania związane z technologią RFID przewidując, że potencjalna wielkość ruchu związanego z identyfikacją etykiet radiowych szybko przewyższy liczbę zapytań kierowanych do serwerów DNS. Jak ten projekt się rozwija i czy rzeczywiście RFID popularyzuje się tak szybko?

Nie. RFID dalej jest uważana za względnie nową technologię i wciąż daleko jej do porównania z poziomem ruchu obsługiwanym przez serwery DNS. Choć ostatnio widać wyraźny wzrost zainteresowania etykietami radiowymi, szczególnie w przemyśle odzieżowym. Sądzę, że popularność tej technologii będzie systematycznie rosła, ale VeriSign będzie się koncentrował na swoim podstawowym biznesie, a więc usługach związanych z serwerami DNS, certyfikatami SSL oraz dotyczących autentykacji i weryfikacji tożsamości.

Tekst powstał na podstawie wywiadu Rogera A. Grimesa "At the front lines of protecting the Internet", opublikowanego przez amerykański Infoworld.