​美国实施DotGov项目确保.GOV域名DNS安全

DNS是把域名转换为IP地址的协议。简而言之，它的主要功能是将用户友好的域名转换为计算机友好的IP地址。即使已经使用了数十年，域名系统（DNS）仍然是互联网的致命弱点。这是因为互联网上几乎所有东西都需要DNS，但DNS服务依赖的协议既不可靠又容易被冒充。出于这两个原因，攻击者将DNS定位为直接攻击或支持其他攻击的跳板。

  针对近期关于修改DNS记录的大规模攻击活动，英国国家网络安全中心(National Cyber Security Centre, NCSC)近日发布了关于应对此类威胁的安全公告。早在2019年1月，美国网络安全和基础设施安全局（CISA）的国家网络安全和通信集成中心（NCCIC）就发布了关于全球DNS基础设施劫持攻击活动的公告。

  DotGov

  DotGov项目是由美国（General Services Administration，GSA）总务署提出，具体负责运营.gov顶级域名并确保其对所有美国政府机构的可用性。早在1997年，GSA就开始负责联邦的.GOV域名注册。

  DotGov项目涉及范围包括基础设施、政策和管理，包括维护大约6000个.gov域名，对.gov域名进行授权，为.gov域名注册商提供7X24小时的技术支持。

  服务的内容包括密码重置、域名POC修改、DNS/DNSSEC更新，2步认证、创建POC账号、门户导航等。

  从今日起，当官方.gov注册商修改DNS时会自动发送邮件告警。为了应对近期影响顶级域名的攻击活动，当Registrar中的DNS记录发生变化时，经过认证的.GOV域名PoC会收到系统生成的邮件。邮件内容包括DNS信息发生改变以及必要的缓解措施。

  所有的DNS修改都会在24小时内进行更新，具体时间与连接、缓存等有关。

  2018年10月，DotGov项目引入一个2步验证来增强.gov注册商账号的安全性，使攻击者接管账号和修改DNS域名设置变得更难。

  因为.GOV域名是排外使用的，也就是说只有政府机构才可以申请和使用该域名，因此确保了.gov域名的官方性和可行性。

  使用https增强安全性。该项目使用HTTPS预加载来确保安全服务器的使用，即使用HTTPS避免通信信道上数据的修改，避免DNS劫持事件的发生。