CÓMO FUNCIONAN LAS DNSSEC

La Comisión de Ingeniería de Internet (IETF) ha trabajado durante más de 15 años para desarrollar un estándar viable para las extensiones de seguridad del sistema de nombres de dominio (DNSSEC). Las DNSSEC protegen a las comunidad de internet contra los datos de DNS falsificados gracias al uso de criptografía de clave pública para firmar digitalmente los datos de la zona autoritativa cuando éstos ingresan al sistema y luego validarlos en su destino. Más información sobre la criptografía de clave pública.


Las firmas digitales aseguran a los usuarios que los datos se originaron en la fuente especificada y que no fueron modificados durante el tránsito. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Estas capacidades son esenciales para el mantenimiento de la confianza en internet.

En las DNSSEC, cada zona tiene un par de claves: pública y privada. La clave pública de la zona se publica mediante DNS, mientras que la clave privada de la zona se mantiene a salvo e idealmente almacenada sin conexión. La clave privada de una zona firma los datos de DNS individuales de esa zona y crea firmas digitales que también se publican con el DNS.

Las DNSSEC usan un modelo de confianza estricto y esta cadena de confianza se transmite de la zona primaria a la secundaria. Las zonas de niveles superiores (primarias) firman, o avalan, las claves públicas de las zonas de niveles inferiores (secundarias). Los servidores de nombres autoritativos de estas diversas zonas pueden ser administrados por registradores, proveedores de servicios de internet (ISP), compañías de alojamiento web o por los mismos operadores de sitios web (registrantes).

Cuando un usuario final desea acceder a un sitio web, la resolución de código auxiliar del sistema operativo del usuario solicita la dirección IP del sitio web a un servidor de nombres recursivo. Luego de que el servidor solicita este registro, también solicita la clave de la DNSSEC asociada a la zona. Esta clave permite que el servidor verifique que el registro de dirección IP recibido es idéntico al registro en el servidor de nombres autoritativo.

Si el servidor de nombres recursivo determina que el servidor de nombres autoritativo envió el registro de direcciones y este no fue modificado durante su transmisión, entonces resuelve el nombre de dominio y el usuario puede acceder al sitio. Este proceso se llama validación. Si el registro de direcciones se ha modificado o no proviene de la fuente especificada, el servidor de nombres recursivo no permite que el usuario llegue a la dirección fraudulenta. Las DNSSEC también pueden demostrar que un nombre de dominio no existe. Como consecuencia de este proceso, las consultas y respuestas de DNS están protegidas de ataques mediante intermediario (man-in-the-middle) y del tipo de falsificaciones que podrían redirigir a los usuarios de internet a sitios de phishing o pharming.