Assinatura DNSSEC do .PT
06-01-2010
Assinatura DNSSEC do .PT
06-01-2010
A FCCN assinou no início de 2010 o ccTLD .PT com DNSSEC e por esse motivo pretendemos esclarecer todos aqueles cujo domínios se encontrem delegados abaixo de .PT para os eventuais impactos e potenciais consequências desta assinatura. O DNSSEC consiste num conjunto de extensões de segurança ao protocolo DNS que vêm permitir a assinatura digital dos dados de uma zona DNS permitindo ao cliente final a capacidade de autenticação desses dados e da origem dos mesmos.
Consequência da assinatura do .PT:
Com o protocolo DNS (RFC 1035) assumiu-se que os pedidos de pacotes de dados de grandes dimensões seriam muito raros tendo sido presumida como dimensão máxima das mensagens DNS os 512 bytes. Uma das alterações mais visíveis que DNSSEC introduz é o facto das repostas DNS terem maiores dimensões. A cada conjunto de dados resource records (RRset) é associada uma assinatura digital (RRSIG). Em grande parte dos casos as respostas DNS serão maiores que 512 bytes. Para colmatar esta situação um grupo de trabalho do IETF desenvolveu as extensões EDNS0, que permitem a um cliente efectuar pedidos DNS de maiores dimensões e aos servidores enviar respostas maiores, com dimensão até 4096 bytes. Para todos os efeitos o EDNS0 seria a solução para o aumento do tráfego DNS uma vez que quase todas as respostas estão à medida dos 4096 bytes, e o DNSSEC funcionaria sem problemas.
Mas atenta a realidade demonstra-se que os pacotes DNS maiores poderão não estar a ser correctamente processados pela Internet. Algumas firewalls e outros dispositivos rejeitam os pacotes DNS maiores que 512 bytes. Noutros casos, os pacotes são fragmentados pelos routers pelo caminho e o destino não consegue associar os fragmentos e estes são rejeitados. Os clientes DNS têm então de voltar a realizar o pedido, com tamanhos mais pequenos até obterem uma resposta ou então forçar o pedido por TCP.
É importante que todos os administradores de redes, servidores de nomes e resolvers mediante o conhecimento que detêm da sua da infra-estrutura devem determinar os obstáculos que poderão enfrentar após a assinatura do .PT com DNSSEC consequentemente dos domínios abaixo de .PT que já começaram a demonstrar a sua adesão, para além da assinatura da root que está programada para 2010 e dos restantes TLDs.
Para os domínios já assinados ou em fase de transição:
O DNS sendo um protocolo simples e essencial, para que funcione correctamente deverá estar correctamente configurado, sendo boa prática existir mais do que um servidor de nomes com a informação de uma determinada zona. Se a zona for assinada com DNSSEC o responsável técnico deverá ter em atenção de que os vários servidores de nomes têm compatibilidade DNSSEC para que quando questionados forneçam a mesma informação DNS entre eles.
Quando uma zona DNS se encontra assinada, as suas assinaturas digitais têm uma validade, sendo que esta validade pode ser, por defeito, um mês, ou então é indicada aquando a assinatura de zona pelo administrador. O importante na gestão de zonas DNS assinadas é que seja realizada uma manutenção que poderá ser manual ou automática para a revalidação das assinaturas da zona, o que significa que antes da data de expiração das assinaturas (RRSIG) ser atingida se deverá revalidar a assinar da zona re-assinando a mesma. Caso contrário, quando solicitada informação DNS de um domínio por meio seguro, cuja validade das assinaturas tenha expirado, o resultado será a ausência de resposta, como se o domínio tivesse deixado de existir.
Consequência da assinatura do .PT:
Com o protocolo DNS (RFC 1035) assumiu-se que os pedidos de pacotes de dados de grandes dimensões seriam muito raros tendo sido presumida como dimensão máxima das mensagens DNS os 512 bytes. Uma das alterações mais visíveis que DNSSEC introduz é o facto das repostas DNS terem maiores dimensões. A cada conjunto de dados resource records (RRset) é associada uma assinatura digital (RRSIG). Em grande parte dos casos as respostas DNS serão maiores que 512 bytes. Para colmatar esta situação um grupo de trabalho do IETF desenvolveu as extensões EDNS0, que permitem a um cliente efectuar pedidos DNS de maiores dimensões e aos servidores enviar respostas maiores, com dimensão até 4096 bytes. Para todos os efeitos o EDNS0 seria a solução para o aumento do tráfego DNS uma vez que quase todas as respostas estão à medida dos 4096 bytes, e o DNSSEC funcionaria sem problemas.
Mas atenta a realidade demonstra-se que os pacotes DNS maiores poderão não estar a ser correctamente processados pela Internet. Algumas firewalls e outros dispositivos rejeitam os pacotes DNS maiores que 512 bytes. Noutros casos, os pacotes são fragmentados pelos routers pelo caminho e o destino não consegue associar os fragmentos e estes são rejeitados. Os clientes DNS têm então de voltar a realizar o pedido, com tamanhos mais pequenos até obterem uma resposta ou então forçar o pedido por TCP.
É importante que todos os administradores de redes, servidores de nomes e resolvers mediante o conhecimento que detêm da sua da infra-estrutura devem determinar os obstáculos que poderão enfrentar após a assinatura do .PT com DNSSEC consequentemente dos domínios abaixo de .PT que já começaram a demonstrar a sua adesão, para além da assinatura da root que está programada para 2010 e dos restantes TLDs.
Para os domínios já assinados ou em fase de transição:
O DNS sendo um protocolo simples e essencial, para que funcione correctamente deverá estar correctamente configurado, sendo boa prática existir mais do que um servidor de nomes com a informação de uma determinada zona. Se a zona for assinada com DNSSEC o responsável técnico deverá ter em atenção de que os vários servidores de nomes têm compatibilidade DNSSEC para que quando questionados forneçam a mesma informação DNS entre eles.
Quando uma zona DNS se encontra assinada, as suas assinaturas digitais têm uma validade, sendo que esta validade pode ser, por defeito, um mês, ou então é indicada aquando a assinatura de zona pelo administrador. O importante na gestão de zonas DNS assinadas é que seja realizada uma manutenção que poderá ser manual ou automática para a revalidação das assinaturas da zona, o que significa que antes da data de expiração das assinaturas (RRSIG) ser atingida se deverá revalidar a assinar da zona re-assinando a mesma. Caso contrário, quando solicitada informação DNS de um domínio por meio seguro, cuja validade das assinaturas tenha expirado, o resultado será a ausência de resposta, como se o domínio tivesse deixado de existir.