Wraz z pojawieniem się cyfrowych sygnatur w systemie DNS (Domain Name System) rejestry i rejestratorzy widzą możliwość bezpośredniego przechowywania w nim certyfikatów.
Zdaniem ekspertów z czeskiego rejestru CZ.NIC niedawne uruchomienie mechanizmu DNSSEC w centralnej strefie root sprawia, że właśnie DNS staje się naturalnym środowiskiem dla zabezpieczeń bazujących na certyfikatach. Ondřej Surý z rejestru CZ.NIC zainaugurował pierwszą dyskusję na temat systemu TLS@DNSSEC podczas 78. spotkania grupy Internet Engineering Task Force (IETF). Z kolei Alexander Mayrhofer (austriacki rejestr NIC.AT) stwierdził w wypowiedzi dla heise online, że uzyskiwanie przychodów z dostarczania certyfikatów może stać się pierwszym modelem biznesowym dla DNSSEC.
W przyszłości klienci mogliby otrzymywać certyfikaty za pośrednictwem swoich rejestratorów lub rejestrów bądź też certyfikować samych siebie i przechowywać odcisk klucza (fingerprint) w odpowiednio zabezpieczonym systemie DNS. Rozmawiając z heise online, Surý zaznaczył, że IETF musi się jeszcze zająć zabezpieczeniem połączenia między użytkownikiem a usługodawcą DNS. Certyfikat przechowywany w systemie DNS ma być tak samo pewny, jak sprzedawane obecnie proste certyfikaty SSL.
Jeśli pomysł z mechanizmem certyfikacyjnym w DNSSEC wypali, dostawcy certyfikatów SSL mogą mieć kłopoty - uważają obserwatorzy. Złośliwi zaś twierdzą, że VeriSign w samą porę sprzedał Symantecowi dział certyfikatów. VeriSign uruchomi do końca bieżącego roku DNSSEC w strefie .net, a w przyszłym podpisana zostanie strefa .com. Surý zauważył jednak, że dostawcy certyfikatów SSL nadal pozostaną na rynku, gdyż niezbędne będą metody weryfikowania tożsamości. Nie zapewnią ich ani DNS, ani DNSSEC, ani też przechowywane tam certyfikaty.
Zagadnienia związane z uwierzytelnianiem w Sieci były przedmiotem dyskusji w wielu grupach roboczych, których przedstawiciele brali udział w spotkaniu IETF. Zespół Oauth chce w najbliższych miesiącach zakończyć prace nad specyfikacją OAuth 2.0. Powstała też nowa grupa robocza, która ma za zadanie przedstawić "wspólne rozwiązanie uwierzytelniające dla WWW" - ma to być odpowiednik systemu eduroam, ale zastosowany na wielką skalę. Już teraz eduroam umożliwia naukowcom logowanie się za pośrednictwem serwera Radius do 50 akademickich sieci na całym świecie z wykorzystaniem jednego identyfikatora. Stosowany jest wówczas opracowany przez IETF i bazujący na języku XML standard Security Assertation Markup Language (SAML).
Eksperci tacy jak Hannes Tschofenig z Nokii – członek grupy Internet Architecture Board (IAB) - mówią bez ogródek, że w dziedzinie uwierzytelniania i zarządzania tożsamością w Sieci panuje obecnie chaos. Do tej pory zespołowi IETF nie udało się doprowadzić do ogólnej dyskusji nad jednolitym standardem zabezpieczeń i autoryzacji. Tymczasem na dłuższą metę wspólne regulacje dotyczące bezpieczeństwa w sieci WWW są nieodzowne - powiedział Jeff Hodges z firmy PayPal. Jego zdaniem stosowane obecnie mechanizmy często nawzajem się powielają. Także inne organizacje chcą zająć się ujednoliceniem systemów autoryzacji: W3C planuje uruchomienie odpowiedzialnej za protokoły sieciowe grupy roboczej Web Application Security, a Mozilla zapowiedziała wprowadzenie zestawu Content Security Policy Kit dla własnego oprogramowania. Hodges zaproponował też kolejny mechanizm zwiększający bezpieczeństwo w Sieci: strony internetowe powinny być w stanie wymuszać nawiązywanie połączeń z nimi za pośrednictwem protokołu HTTPS (Strict Transport Security, STS).
Ukryj panel
