国旭科技（www.xdns.cn）域名资讯6月10日消息

人们可以通过快速在线搜索了解一些这类引人注目的事件，但好奇的读者可能会问这些漏洞实际被利用的可能性有多大，在现实中发生的频率，以及互联网用户是否面临真正的风险。

现实中，存在一个活跃并专业的域名回收系统。用户可以通过众多在线域名抢注服务，在一些域名失效时，从中购买他们想要的域名。当一个域名失效并开始对外开放的时候，抢注系统会调动大量计算资源，并向注册系统发出大量请求，和地球上所有潜在的注册者竞争。这类似于金融市场中的高频交易场景，只不过是针对域名而非股票。

在最近，波士顿东北大学的进行的一项实验中，证实了重新启用旧域名高需求的风险。研究发现，仅三家主要的抢注服务提供方就操作了75%的域名注册，并占到了域名注册尝试的80%。多达10%的.com和5%的.org域名在过期当天就被重新注册。

域名回收的第二个竞技场是注册商对即将到期的域名进行拍卖的时候。通过拍卖所得的域名构成了特殊的威胁；它们不会经历典型的到期和重新注册阶段，而是从以前的所有者转移到新的一方。因此，包括域名创建日期在内的域名注册信息不会变更，即使仔细分析WHOIS记录，也很难发现所有权发生了变化。这会带来问题，因为许多商业安全产品、域名信誉服务和黑名单维护人员都会根据域名的年龄进行一些决策，而较老的域名被认为是更值得信任。

有证据表明，域名经常更换主人，这得益于蓬勃发展的抢注和拍卖服务生态系统。遗憾的是，很多Internet应用程序甚至安全机制都严重依赖域名所有权，将其作为信任锚。域名在某种程度上通过这种方式获得永存。展望未来，安全专业人员应该将在这种情况下存在的陷阱和风险纳入威胁模型。在设计未来的系统时，我们应该努力发展必要的保护措施，以确保域所有权不会意外转移，如果最终发生这种情况，应该有完善的撤销机制进行回应并将信任转移到新的锚上。证书透明化在监控TLS证书方面发挥了奇迹般的作用。也许我们应该开始考虑倡议域名透明化。