CÓMO FUNCIONA DNSSEC

La Fuerza de Trabajo de Ingeniería de Internet (IETF) se ha dedicado durante más de 15 años a desarrollar un estándar operativo para las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). DNSSEC protege a la comunidad de Internet de datos DNS falsificados, usando criptografía de clave pública para firmar digitalmente los datos de zona oficiales cuando entran en el sistema y para validarlos en su destino. Conozca más acerca de la criptografía de clave pública.


La firma digital ayuda a asegurar a los usuarios que los datos se originaron en la fuente declarada y que no se modificaron en el trayecto. DNSSEC también puede establecer que un nombre de dominio no existe. Estas capacidades son esenciales para mantener la vitalidad de Internet.

En DNSSEC, cada zona tiene un par de claves, una pública y una privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene segura y almacenada, idealmente fuera de línea. La clave privada de zona firma datos individuales de DNS en esa zona, creando firmas digitales que también son publicadas mediante DNS.

DNSSEC usa un modelo de confianza rígido y esta cadena de confianza fluye de la zona principal a la secundaria. Las zonas de nivel superior (principales) firman, o responden por, las zonas inferiores (secundarias). Los servidores de nombre oficiales para estas diversas zonas pueden ser administrados por registradores, proveedores de servicios Internet (ISP), compañías de alojamiento web y los mismos operadores de páginas web (registrantes).

Cuando un usuario final desea acceder a un sitio web, un resolutor local en el equipo del usuario solicita la dirección IP del sitio web procedente de un servidor de nombres recursivo. Después de que el servidor solicite este registro, también solicita la clave DNSSEC asociada con la zona. Esta clave permite al servidor verificar que el registro de dirección IP que recibe es idéntico al registro del servidor de nombres oficial.

Si el servidor de nombres recursivo determina que el registro de la dirección ha sido enviado por el servidor de nombres oficial y no ha sido alterado durante el trayecto, resuelve el nombre de dominio permitiendo al usuario acceder al sitio. A este proceso se le denomina validación. Si el registro de la dirección ha sido modificado o no proviene de la fuente declarada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. DNSSEC también puede demostrar que un nombre de dominio no existe. Como resultado de este proceso, las consultas y respuesta DNS quedan protegidas de ataques de intermediario y del tipo de falsificaciones que posiblemente redireccionarían a los usuarios de Internet hacia sitios de phishing y pharming.