DNSSEC
ÂMBITO
DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) concebidas para proteger e autenticar o tráfego DNS.
Estas extensões validam os dados através de assinaturas digitais, fazendo uso da tecnologia de criptografia assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador.
Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do protocolo DNS.
As extensões DNSSEC visam melhorar a confiabilidade dos utilizadores nos serviços prestados, nomeadamente:
- Suprimir fragilidades do protocolo DNS;
- Prevenir ataques do tipo man-in-the middle e cache poisoning;
- Reduzir o risco de manipulação de informação;
- Reforçar a fiabilidade do sistema.
As ameaças de segurança e a consciencialização dessa realidade têm vindo a ocupar um lugar de destaque nas preocupações por parte das entidades responsáveis por esta matéria, pelo que a procura de soluções que garantam um ambiente mais seguro no serviço e na rede é uma preocupação mundial por parte dos especialistas.
Na sequência dos desenvolvimentos internacionais, acompanhados de perto pelo .pt, têm vindo a ser criadas as condições necessárias para a adoção deste mecanismo de segurança em torno da comunidade DNS. É já considerável o número de TLDs (Top Level Domains) que disponibilizam este mecanismo (.se, .pr, .cz, .bg, .br, .museum, .gov, .org) aos seus utilizadores estando o .pt entre os primeiros e muitos lhe seguiram principalmente após a Root (ou servidor de raiz) ter sido assinada em julho de 2010, o que veio permitir propagar a cadeia de confiança DNSSEC a toda a estrutura hierárquica do DNS, simplificando todo o processo.
Para que se obtenha total proveito deste serviço é necessário haver uma implementação do lado dos ISPs (Internet Service Provider) para que este serviço chegue ao cliente final.
Se tiver dúvidas sobre DNSSEC consulte o tutorial.
Se tiver dúvidas sobre DNSSEC consulte o tutorial.
IMPLEMENTAR DNSSEC
Se tem conhecimentos de DNS e pretende testar a utilização de DNSSEC num domínio sob .pt, sem inviabilizar o funcionamento dos seus atuais domínios, pode solicitar o registo gratuito de um domínio sob a hierarquia dnssec.pt enviando os seus dados através do formulário abaixo e solicitando um domínio abaixo de dnssec.pt para fins de teste.
Para questões relacionadas com extensões de Segurança ao DNS (DNSSEC):
Se necessita de esclarecimentos relacionados com o registo de domínios sob .pt, deverá utilizar o formulário disponível em Contactos.
Se necessita de esclarecimentos relacionados com o registo de domínios sob .pt, deverá utilizar o formulário disponível em Contactos.
TUTORIAIS:
SCRIPTS:
• KIT DNSSEC: v0.9
• Script @ ul.pt: editNsign
• Example files: example file zone / named.conf
RFCs:
• DNS
RFC 1034: Domain Names - Concepts and Facilities
RFC 1035: Domain Names - Implementation and Specification
RFC 1912: Common DNS Operational and Configuration Errors
• DNSSEC
RFC 4033: DNS Security Introduction and Requirements
RFC 4034: Resource Records for the DNS Security Extensions
RFC 4035: Protocol Modifications for the DNS Security Extensions
RFC 4470. Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4641: DNSSEC Operational Practices
RFC 5155: DNS Security (DNSSEC) Hashed Authenticated Denial of Existence
• DANE
The DNS-Based Authentication of Named Entities (DANE) / Transport Layer Security (TLS) Protocol: TLSA
Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)
The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance