DNSSEC para registradores

DNSSEC es un imperativo comercial para los registradores, ya sea por requisitos internos, como la administración de riesgos, o por la demanda de una experiencia de Internet más segura por parte de los consumidores.

La Extensión de Seguridad del Sistema de Nombre de Dominio (DNSSEC) presenta nuevas oportunidades y nuevos desafíos para los registradores. Verisign se compromete a trabajar con nuestros registradores afiliados para hacer que DNSSEC sea tan simple y valioso como sea posible. Descubra lo que DNSSEC significa para usted, los pasos que usted puede tomar para prepararse para DNSSEC, y cómo las herramientas, información y otros recursos de Verisign pueden ayudarle a planificar, probar e implementar efectivamente DNSSEC.

Por qué actuar ahora Qué hacer Dónde empezar Herramientas

Los registradores juegan un papel esencial en el éxito de DNSSEC. Algunos proveedores de servicios de Internet (ISs) y registros de dominios .net y .com están implementando DNSSEC. Puesto que la implementación de DNSSEC es un proceso complejo, Verisign aboga por un enfoque cuidadoso y metódico. Los registradores deben empezar pronto para contar con el tiempo suficiente para planificar, desarrollar, probar y refinar sus productos.

Actuando ahora, puede establecerse a sí mismo como líder de pensamiento y modelo de rol, diferenciarse de la competencia y adquirir una posición de salida ventajosa en un mercado con nuevas oportunidades de ingresos. También puede ser capaz de influenciar en el desarrollo de productos, servicios y otras iniciativas de la industria que apoyen y beneficien a sus negocios.

Beneficios para registradores proactivos

Añadiendo proactivamente esta capa importante, usted puede:

  • Ayudar a proteger la marca y los clientes de los registrantes.
  • Mantener la fidelidad y confianza de los registrantes.
  • Atraer y conservar registrantes preocupados por la seguridad.
  • Crear nuevas ofertas de servicio, como el firmado de zona para registrantes.
  • Abrir la puerta al uso de DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, publicando otros tipos de claves públicas y autenticando el origen de correos electrónicos).
  • Proteger su negocio central mejorando la confianza en Internet.
  • Ejercer liderazgo e influencia para determinar el futuro de DNSSEC.

DNSSEC introduce cambios complejos que afectan a todas las partes en la cadena de consultas y resoluciones DNS, y en especial a los registradores y otras entidades de alojamiento que administran servidores de nombres oficiales y proporcionan servicios de administración clave para registrantes. Ofrecemos herramientas y colaboración para asegurar que su despliegue de DNSSEC es exitoso.

Para desarrollar los nuevos servicios que los registrantes solicitarán cuando se haya desplegado DNSSEC, usted necesitará firmar los nombres de dominio de los registrantes. Activar DNSSEC para un registrador implica lo siguiente:

  • Crear pares de claves privadas y públicas para el nombre de dominio.
  • Crear y firmar la zona.
  • Gestionar los pares de claves.

Estos procesos aseguran que los resolutores preparados para DNSSEC dentro del ecosistema de Internet pueden verificar la autenticidad de las respuestas recibidas desde la zona.

También tendrá que modificar la interfaz de sus clientes para poder aceptar los datos clave de DNSSEC y la interfaz del Protocolo de Aprovisionamiento Extensible (EPP) para pasar los datos clave de DNSSEC a los registros con los que interactúan.

Firma de zonas
Las siguientes tareas están asociadas con el establecimiento y firmado de una zona:

  • Establecer claves de firmado de zona (ZSK), que firman los registros de la zona
  • Establecer claves de firmado de clave (KSK), que firman los registros clave de la zona y ayudan a construir la jerarquía de confianza
  • Generar una zona no firmada
  • Generar la zona
  • Probar el sistema de firmado en un entorno de prueba desconectado de la red
  • Aplicar el firmado en fases, por ejemplo empezando por las redes internas, asegurando que todo sigue funcionando correctamente

Administración de claves en curso
requiere un cambio rutinario de claves privadas para minimizar el riesgo asociado con un actor malicioso que pueda obtener la clave. La actualización de clave comporta el cambio del par de claves de la zona y el refirmado de la zona con la nueva clave privada. Al actualizar una KSK, es necesario actualizar el registro con la información de la nueva clave pública (registros DS).

Las siguientes tareas están asociadas con la administración de claves:

  • Ocuparse de las actualizaciones de clave (programadas y de emergencia) para ZSK y KSK
  • Realizar el refirmado programado de los registros de recursos relacionados con la seguridad
  • Actualizar la zona padre con registros de firmante delegado (DS) basados en las KSK

Consideraciones adicionales
El alojamiento de una zona firmada requiere la implementación de servidores de nombre conformes a DNSSEC. La administración de claves requiere hardware y software especializado para DNSSEC. La implementación y administración de estos componentes es un proceso largo y complejo. Usted dispone de varias opciones: desarrollar una solución DNSSEC local, adquirir productos DNS habilitados con DNSSEC ya disponibles en el mercado, o contar con un proveedor de servicios administrados cualificado que se encargue de realizar el firmado y la administración de claves DNSSEC.

Ya sea para una solución local a medida o bien para una ya disponible en el mercado, usted necesitará planificar y programar cuidadosamente la integración de nuevos dispositivos en su sistema. Usted también debería probar su implementación fuera del entorno de producción para asegurar que los dispositivos funcionan correctamente al activar DNSSEC. Para este propósito se encuentra disponible el Entorno de Pruebas Operacionales (OTE) de Verisign, de forma gratuita para los registradores de dominios .net y .com.

Usted también debería averiguar si sus dispositivos de red actuales pueden soportar DNSSEC. Por ejemplo, ¿está usted seguro de que pueden manejar paquetes DNSSEC, potencialmente más largos que los paquetes tradicionales, y soportan el Protocolo de Control de Transmisión (TCP) y los mecanismos de extensión para paquetes DNS?

Los registradores pueden tomar con el tiempo los pasos necesarios para alcanzar su objetivo de un sistema habilitado con DNSSEC que sea capaz de mantener el impulso de registrantes y usuarios finales, ofrezca nuevas posibilidades de ingresos, y proporcione una ventaja competitiva. Basándonos en las observaciones de expertos en la industria y la experiencia adquirida durante el despliegue de DNSSEC en la zona raíz y los dominios .edu, .net y .com, recomendamos los siguientes pasos para empezar.

Explore y eduque

  • Comprenda como DNSSEC encaja en su estrategia de ciberseguridad.
  • Conozca los beneficios y desafíos de implementar DNSSEC.
  • Comprenda la criptografía de clave pública, los estándares de encriptación y cómo las firmas digitales y las claves públicas/privadas funcionan en conjunto.
  • Asegúrese de que su personal de TI y de soporte al cliente recibe la formación adecuada.
  • Planifique estrategias para educar a los registrantes acerca de DNSSEC.

Planifique

  • Establezca un calendario para la adopción de DNSSEC.
  • Decida cómo integrará DNSSEC en su arquitectura de DNS existente.
  • Sopese sus opciones de despliegue: desarrollo local a medida, productos DNS habilitados con DNSSEC disponibles comercialmente o bien mediante servicios administrados.

Evalúe y actualice

  • Determine qué impacto tendrá DNSSEC sobre el ancho de banda de su red. (DNSSEC incrementa el tráfico de red.)
  • Considere cómo afectará DNSSEC a su administración de DNS.
  • Revise y actualice sus políticas de administración de claves y seguridad para incluir un calendario de actualización de claves, reflejar los nuevos roles y responsabilidades introducidos por DNSSEC y proporcionar un almacenamiento seguro para las claves.
  • Asegúrese de que su red está configurada correctamente; asegúrese de que las definiciones de zona son exactas y completas.
  • Consulte con sus proveedores de hardware si la implementación de DNSSEC está entre sus planes y si disponen de actualizaciones para sus dispositivos de red existentes.
  • Actualice su hardware DNS y su software de servidores de nombres en la medida de lo necesario para hacerlo compatible con DNSSEC.
  • Evalúe los productos y servicios que soporten su implementación.

Participe

  • Inscríbase en el Foro de Registradores de Verisign.
  • Use el Entorno de Pruebas Operacionales (OTE) de Verisign, que le permite probar su implementación de DNSSEC.
  • Trabaje con consorcios industriales, cuerpos de estandarización y proveedores de software y hardware para ayudar a desarrollar soluciones y enfoques que satisfagan las necesidades de su organización.

Verisign se compromete a reducir los costes de implementación de DNSSEC y a ayudarle a identificar la mejor estrategia de despliegue de DNSSEC para su situación. Hemos desarrollado las siguientes herramientas y servicios para facilitar la implementación de DNSSEC a la comunidad de registradores:

  • Ayudar a proteger la marca y los clientes de los registrantes.
  • Mantener la fidelidad y confianza de los registrantes.
  • Atraer y conservar registrantes preocupados por la seguridad.
  • Crear nuevas ofertas de servicio, como el firmado de zona para registrantes.
  • Abrir la puerta al uso de DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, publicando otros tipos de claves públicas y autenticando el origen de correos electrónicos).
  • Proteger su negocio central mejorando la confianza en Internet.
  • Ejercer liderazgo e influencia para determinar el futuro de DNSSEC.

Verisign se compromete a reducir los costes de implementación de DNSSEC y a ayudarle a identificar la mejor estrategia de despliegue de DNSSEC para su situación. Hemos desarrollado las siguientes herramientas y servicios para facilitar la implementación de DNSSEC a la comunidad de registradores:

Find out if your website is DNSSEC enabled]]>

Usted puede usar el Entorno de Pruebas Operacionales de extremo a extremo de Verisign para probar su implementación técnica de DNSSEC mucho antes de la habilitación planificada de los dominios .net y .com.

El OTE es una reproducción de la(s) plataforma(s) de registro .net y .com que usted implementará en producción. El entorno de extremo a extremo le permite enviar, registrar y resolver nombres con registros de firmante delegado (DS) para dominios .net y .com. Usted también puede usar el OTE para probar la integración de aplicaciones de interfaz orientadas al cliente y las capacidades de firmado de claves.

El OTE incluye los componentes siguientes:

  • Motor de registro—Una réplica de motor de registro que puede aceptar nombres de dominio y datos DS de prueba a través de una interfaz operativa de registro EPP y una interfaz de usuario por web; esta réplica de sistema de registro proporciona actualizaciones de ficheros de zona para probar servidores de nombres.

  • Motor de registro—Una réplica de motor de registro que puede aceptar nombres de dominio y datos DS de prueba a través de una interfaz operativa de registro EPP y una interfaz de usuario por web; esta réplica de sistema de registro proporciona actualizaciones de ficheros de zona para probar servidores de nombres.

El Foro técnico en línea de DNSSEC permite que su equipo técnico comparta prácticas recomendadas y participe en debates abiertos sobre DNSSEC con otros usuarios y con los ingenieros de Verisign. Su personal también puede recibir apoyo para la implementación, consejo para el firmado y administración de claves, actualizaciones de noticias y desarrollos relacionados con DNSSEC, la Guía de Herramientas DNSSEC y mucho más. Esta valiosa herramienta de colaboración es privada y segura.

Inscríbase en el Foro técnico en línea de DNSSEC. (El acceso está sujeto a las credenciales y restricciones de acceso de NameStore.) ¿No puede acceder? Contacte con nosotros.

La Guía de Herramientas DNSSEC está disponible a través del Foro técnico en línea de DNSSEC (vea más arriba). Incluye una reseña de herramientas de código abierto y soluciones comerciales disponibles en el mercado, una matriz de comparación de herramientas, ayuda para la administración de claves, una herramienta de clave de zona y herramientas DNSSEC.

Access the Tool Guide Series on DNSSEC (Acceso a la serie de guías de herramientas DNSSEC) (PDF).

El kit de desarrollo de software (SDK) DNSSEC de Verisign le permite integrar más fácilmente sus servidores de nombres con los sistemas DNSSEC de Verisign. También puede usted usar las herramientas del SDK de EPP para experimentar con comandos EPP o validarlos sin tener que realizar un programa.

Acceso al SDK para EPP.

Los campamentos técnicos son sesiones de un día entero con los ingenieros de Verisign encargados del desarrollo de DNSSEC. Los ingenieros hablan acerca de nuestros desarrollos actuales, del aspecto de las interfaces de EPP y de los requisitos de DNSSEC para registradores.

Descubra más acerca de nuestros Campamentos técnicos DNSSEC.

El Analizador de DNSSEC es una herramienta basada en web para asegurar que la "cadena de confianza" se mantiene intacta para un nombre de dominio habilitado para DNSSEC concreto. La herramienta muestra una validación paso a paso para un determinado nombre de dominio y resalta los problemas detectados.

Descubra si su sitio web está habilitado para DNSSEC

más informaciónmenos información

¿NECESITA MÁS INFORMACIÓN?

Avisos legales// Privacidad// Depósito// Contacte con nosotros// Mapa del sitio


© 2011-2013 VeriSign, Inc. Todos los derechos reservados.
VERISIGN, el logotipo de VERISIGN y otras marcas comerciales, marcas de servicios y diseños son marcas registradas o no registradas de VeriSign, Inc. y de sus subsidiarias en los Estados Unidos y en otros países. Todas las demás marcas comerciales son propiedad de sus respectivos dueños.