DNSSEC para diseñadores de políticas
La adopción de DNSSEC está ganando impulso, a medida que gobiernos, instituciones financieras, proveedores de servicios de Internet (ISP), negocios y otras organizaciones están cada vez más concienciados acerca de las amenazas relacionadas con DNS.
Internet juega un papel cada vez más crítico en el gobierno, el comercio, las comunicaciones y la seguridad nacional en todo el mundo. La Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC) proporciona una capa de seguridad adicional que ayuda a mantener el impulso de este recurso vital. Su efectividad será mayor cuando la haya adoptado el conjunto de la comunidad de Internet. Descubra lo que DNSSEC significa para ustedes, qué aspectos debe tener en cuenta, y cómo Verisign participa activamente en el despliegue de DNSSEC a través de Internet.
DNSSEC es más efectivo cuanto más universal sea su implementación, comenzando por el nivel superior de la jerarquía de Internet (la zona raíz y los dominios de nivel superior) y descendiendo hasta los nombres de dominio individuales.
La dimensión, complejidad e impacto de un esfuerzo global en DNSSEC sugieren que los diseñadores de políticas en el gobierno y en el sector privado juegan un papel esencial en el éxito de DNSSEC. Con su trabajo a nivel nacional e internacional en telecomunicaciones, estándares técnicos, comercio, cumplimento de la ley y seguridad y defensa nacional, los diseñadores de políticas cuentan con la visibilidad, influencia y alcance para afectar positivamente al momento y el curso de DNSSEC.
Beneficios de alto nivel
DNSSEC presenta oportunidades para todos los miembros del ecosistema de Internet. El impacto más amplio y directo recae en los usuarios finales y en las organizaciones con las que interactúan. Añadiendo otra capa de seguridad a Internet, DNSSEC proporciona los siguientes tipos de beneficio:
| MIEMBRO DEL ECOSISTEMA | BENEFICIO |
|---|---|
| Comunidad de Internet (por ejemplo, operadores de sitios web que participan en el comercio electrónico, el gobierno, servicios financieros o negocios en general) | Infraestructura de seguridad mejorada significativamente que incrementa la confianza en Internet |
| Usuarios finales | Reducción del riesgo de redirección no intencionada a sitios web fraudulentos (causada por los ataques de intermediario o ataques de envenenamiento de cache) que podrían conducir al robo de identidad y otros peligros de seguridad |
| Registradores | Ventaja competitiva para los adoptadores iniciales; oportunidad de ofrecer a los clientes productos de seguridad mejorados y más rentables |
| Proveedores de servicios de Internet (ISP) | Seguridad de datos incrementada para los usuarios de Internet que dependen del servicio de servidores de nombres de un ISP para la navegación en Internet |
| Proveedores de hardware y software | Oportunidad de proporcionar nuevos productos y soluciones |
La implementación de DNSSEC no es una tarea trivial. Requiere considerables recursos, documentación, pruebas y la coordinación de la industria. También introduce cambios complejos que tendrán más impacto sobre unos miembros del ecosistema de Internet que sobre otros. Usted necesitará considerar estas complejidades cuando recomiende o implemente políticas, calendarios y otras líneas de actuación.
- Los registradores deben actualizar sus sistemas para interconectarse con registros habilitados con DNSSEC, proporcionar un mecanismo para que los clientes envíen su material clave de DNSSEC al registro, y (si el registrador ofrece servicios de alojamiento DNS) añadir sistemas de firmado y administración de claves DNSSEC que son complejos y consumidores de recursos.
- Los ISP deben habilitar DNSSEC en sus servidores de nombres recursivos, asegurar la compatibilidad de sus dispositivos y tener en mente que los paquetes de respuesta DNSSEC son potencialmente mayores que los paquetes DNS tradicionales y pueden incrementar los requisitos de ancho de banda.
- Los proveedores de hardware y software deben actualizar sus productos existentes y desarrollar nuevos productos que sean compatibles con DNSSEC y soporten los servicios DNSSEC.
Cada uno de estos procesos es complejo, tiene un impacto sobre las operaciones del sistema, requiere pruebas exhaustivas y puede llevar muchos meses.
Cualquier extensión de DNSSEC debería ser realizada en fases, especialmente para la operación fiable de dominios de nivel superior (TLD) globalmente cruciales, como .com y .net. La estrategia, planificación y colaboración a largo plazo, no sólo dentro y a través de organizaciones e industrias, sino también a nivel internacional, crea una base sólida para una implementación exitosa.
Verisign se compromete a servir como administrador de confianza de Internet. Como registro de los dominios .com y .net y proveedor de servicios críticos de infraestructura de Internet, nuestra meta es la de permitir las próximas innovaciones de Internet al mismo tiempo que protegemos la comunidad de nueves ciberamenazas emergentes. Nuestro trabajo en DNSSEC es otro paso en nuestra presente fortificación e inversión en infraestructura crítica de Internet.
Verisign ha participado en el desarrollo de DNSSEC desde el año 2000, y nuestros ingenieros han desempeñado un papel de liderazgo en el desarrollo del protocolo DNSSEC de Denegación de Existencia Autenticada con la Función Hash NSEC3. A medida que avancen las pruebas, implementación y adopción de DNSSEC, seguiremos colaborando con la comunidad técnica de Internet y participando en organizaciones de la industria como la Coalición DNSSEC.
Para ayudar a comprender las implicaciones de un entorno habilitado con DNSSEC, Verisign ha puesto en marcha el Laboratorio de Interoperabilidad DNSSEC. El Laboratorio de Interoperabilidad era un entorno autónomo con un conjunto de más de 8.000 casos de prueba y permitía a los miembros de la comunidad de TI probar la compatibilidad de sus componentes de infraestructura empresarial y de Internet con DNSSEC.
En julio de 2010, Verisign (junto con la Agencia de Asignación de Números de Internet (IANA) y el Departamento de Comercio (DoC) de EE.UU.) completaron la implantación de DNSSEC en la zona raíz (el punto de inicio de la jerarquía de DNS). Verisign también adaptó el dominio .edu en julio, en colaboración con EDUCAUSE y el DoC, el dominio .net en diciembre de 2010 y el dominio .com en marzo de 2011. Además, un cierto número de dominios de nivel superior (TLD), entre los que se cuentan .gov, .org y los TLD de código de país de Brasil, Bulgaria, la República Checa, Puerto Rico y Suecia, han sido firmados por otros registros.
Además, hemos tomado numerosos pasos para ayudar a los miembros del ecosistema de Internet a aprovechar las ventajas de DNSSEC. Estos pasos incluyen la publicación de recursos técnicos, la puesta en marcha de un Entorno de Prueba Operacional, el desarrollo de sesiones educativas, la participación en foros de la industria, y la creación de herramientas para simplificar la administración de DNSSEC.