米国VeriSignは、今後2年以内に、同社が運用するすべてのトップレベル・ドメイン（TLD）に、DNSのセキュリティ拡張仕様「DNSSEC（Domain Name System Security Extension）」を導入すると言明した。

　VeriSignは、Network World米国版向けの声明で次のように述べている。「われわれは、当社が運用するすべてのTLDにDNSSECを実装すべく動いている。この作業が完了するまでには、約2年を要する見込みだ。なかでも『.com』は、そのサイズの大きさゆえに、DNSSECの導入が最も遅れるTLDとなるだろう」

米国VeriSignのWebサイト

　DNSSECは、デジタル署名と公開鍵暗号技術を用いることで、Webサイトのドメイン名と対応するIPアドレスを確実に検証できるようにする仕組みだ。DNSSECを導入することで、Webトラフィックをハイジャックして偽のWebサイトにリダイレクトするDNSキャッシュ・ポイズニング攻撃も防ぐことができる。

　昨年7月、セキュリティ研究者のダン・カミンスキー（Dan Kaminsky）氏がDNSプロトコルの欠陥を発見したが（関連記事）、DNSSECはこうした脆弱性を解消するための最善の手段と考えられている。実際、カミンスキー氏もDNSSECの普及を提言している。

　DNSSECは現在、スウェーデン、プエルトリコ、ブルガリア、ブラジル、チェコの運用するTLDに導入されている。また、より大きな2つのドメイン――Public Interest Registryの運用する「.org」と米国政府の運用する「.gov」――も、今年中にDNSSECを導入する予定だ。

　こうした流れを受け、DNS階層の最上位に位置するDNSルート・ゾーンと、ビジネスで最も人気のある「.com」および「.net」ドメインについても、多くのネットワーク・セキュリティ関係者がDNSSECの導入を訴えている。

　この「.com」と「.net」ドメインのどちらも、VeriSignが運用している。両方合わせたドメイン名登録数は2008年末時点で9,000万にも上る。さらに同社は、DNSルート・ゾーンのデータを保持する、全世界で13存在するサーバ・クラスタのうちの2つを管理している。

　VeriSignによると、同社は2008年の10月から12月の間に、最大で1日約500億件のDNSクエリを処理したという。

　業界団体VPN Consortiumのディレクターであり、積極的にDNSSECの普及活動を行っているポール・ホフマン（Paul Hoffman）氏は、VeriSignのDNSSECサポートを歓迎するとしたうえで、「DNSのセキュリティを強化する最善のシナリオは、ルート・ゾーンと『.com』ドメインの管理者がDNSSECを早急に導入することだ。そうすれば、『.com』ドメイン下のセカンドレベル・ドメインでWebサイトを運営する個々の企業にもDNSSECの導入を促しやすくなる」と述べた。

　ShinkuroのCEO、スティーブ・クロッカー（Steve Crocker）氏も、ホフマン氏と同じ考えのようだ。「重要なのは、DNS階層の上位から順にDNSSECを導入することと、DNSSECを導入した組織が署名認証を開始することだ。ルート・ゾーンと『.com』ドメインに署名を付けることがDNSSECの普及を促進するカギとなる。なぜなら、『.com』ドメインに署名を付けることができれば、たちまち7,000万以上のドメイン名をカバーできるのだから」（クロッカー氏）