Las compañías de seguridad discuten que les sean impuestos estándares de seguridad rigurosos para que los sitios web puedan utilizar dominios válidos -no todos concuerdan.
La mayoría de las peticiones para más nombres TLD (top-level domain, o dominio de alto nivel - como .com, .net y .org) se parecen mucho a propuestas de constructoras solicitando la creación de nuevos continentes solo para poder poner más edificios. Podría decirse que la creación de los dominios .name, .pro, .xxx y aún .biz, que han existido por ma? de 10 años, fue guiada más por intereses económicos que por necesidad.
A primera vista, el esfuerzo de la compañía de tecnologías en seguridad Artemis por crear el TLD .secure podría ser similar. Si es exitosa, Artemis administrará el nuevo dominio, cobrando a cualquier compañía que quiera ser parte de la nueva red con enfoque en la seguridad.
Y aún así, a diferencia de .name o .xxx, .secure tiene un propósito real. En esencia, es un programa de sellos: una compañía con un servidor .secure ofrecerá sólidas tecnologías de seguridad para asegurar transacciones entre el usuario y sus servicios.
Artemis requerirá que las compañías con dominios .secure utilicen técnicas de verificación seguras y comprobadas para establecer las identidades de sus clientes, así como que implementen ciertas tecnologías de seguridad, y verificará regularmente que la compañía esté efectivamente en cumplimiento, dijo Alex Stamos, el Director de Tecnología de Artemis.
La mayoría de las tecnologías para mantener la seguridad en Internet no son fáciles de usar. Actualmente, no existen incentivos convincentes para que las compañías hagan el esfuerzo de implementar tecnologías como DNSSec (un conjunto de extensiones de seguridad para resolución de nombres de dominio) o CSP (Política de seguridad para contenidos - enlace en inglés).
Y en casos donde existe una tecnología de seguridad fácil de utilizar, como HTTPS, muchas compañías no ofrecen esta opción. En contraste, una compañía con dominios .secure deberá utilizar DNSSEC para firmar su zona de dominios, TLS (seguridad en capa de transporte) para todas las sesiones HTTP, llaves de dominio para validar la infraestructura de correo electrónico, y cifrado oportunístico para contenidos en correo electrónico.
"Explicarle a mi suegro, por dar un ejemplo, el porqué necesitamos HTTPS es una locura. En vez de ello, si estás en un dominio .secure, garantizas que vas a proveer ciertas tecnologías de seguridad," comentó Stamos.
Stamos cree que el momento es ideal porque, con el empuje por DNSSec y la concientización sobre ataques importantes contra compañías, éstas últimas están más dispuestas que nunca a implementar seguridad si hubiera algún beneficio.
En contraste a lo que ocurre con el controversial dominio .xxx, que esencialmente apartó a la pornografía del resto de Internet, contrario a los intereses de esta industria.
No todos están de acuerdo que el dominio .secure sea necesario. Tener más TLDs significa más trabajo para compañías que tratan de asegurar la infraestructura de DNS, dijo Andrew Fried, un consultor independiente de seguridad que regularmente trabaja en problemas de DNS.
Lo que es peor, muchos usuarios podrían sentirse más seguros, pero los atacantes inmediatamente se enfocarán en vulnerar esos sistemas.
"El problema es que 'los malos' van a encontrar una manera de abusar del sistema", comentó. "Cuando escucho algo sobre un nuevo dominio de alto nivel, lo primero que pienso es qué tan difícil será" encontrar a los actores maliciosos.
Cualquier tecnología de seguridad que promete más de lo que entrega le dará a los usuarios un falso sentido de la seguridad, argumenta, añadiendo que será peor que si no hubiera un dominio .secure.
Fuentes: Infoworld
0 comentarios:
Publicar un comentario