DNSSEC para registradores

Los registradores desempeñan una función clave para el éxito de las DNSSEC. Algunos proveedores de servicios de internet (ISP) y registradores .net y .com ya están trabajando para implementar las DNSSEC. Debido a que la implementación de las DNSSEC es un proceso complejo, Verisign aboga por un enfoque cuidadoso y metódico. Los registradores deben comenzar pronto para contar con bastante tiempo para planificar, implementar, probar y refinar la implementación de las DNSSEC.

Al actuar ahora mismo, usted puede establecerse como un líder intelectual y un modelo a seguir, diferenciándose de la competencia y aprovechando antes que nadie las nuevas oportunidades para generar ingresos. También puede ser capaz de influir en el desarrollo de productos y servicios (y otras iniciativas de la industria) que respalden y beneficien a su empresa.

Beneficios para los registradores proactivos

Si agrega esta capa importante de forma proactiva, usted puede:

• Ayudar a proteger a los clientes y la marca del registrante.
• Mantener la lealtad y la confianza de los registrantes.
• Atraer y retener a los registrantes que se concentran en la seguridad y la reputación.
• Generar nuevas ofertas de servicios, como firma de zonas para registrantes.
• Abrir la puerta al uso del DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, la publicación de otros tipos de claves públicas y la autenticación del origen de correos electrónicos).
• Proteger sus negocios principales a través de un aumento de la confianza en internet.
• Ejercer liderazgo e influencia para moldear el futuro de las DNSSEC.

Las DNSSEC presentan cambios complejos que afectan a todas las partes en la cadena de consulta y resolución de DNS, en especial a los registradores y otras entidades de alojamiento que administran servidores de nombres autoritativos y proporcionan servicios de administración de claves para los registrantes. Contamos con herramientas y trabajaremos con usted para garantizar una implementación exitosa de las DNSSEC.

Para desarrollar los servicios nuevos que los registrantes exigirán una vez implementadas las DNSSEC, deberá firmar los nombres de dominio del registrante. La habilitación de las DNSSEC para un registrante implica lo siguiente:

• Creación de pares de claves públicas y privadas para el nombre de dominio.
• Creación y firma de la zona.
• Administración de los pares de claves.

Estos procesos garantizan que los servidores de resolución que cuentan con las DNSSEC dentro del ecosistema de internet puedan verificar la autenticidad de las respuestas que otorga la zona.

También deberá modificar la interfaz para que sus clientes acepten los datos de las claves de las DNSSEC y la interfaz de su protocolo de aprovisionamiento extensible (EPP) para pasar los datos de las claves de las DNSSEC a los registros con los que interactúa.

Firma de una zona
Las siguientes tareas están relacionadas con la configuración y firma de una zona:

• Establecer claves de firmas de zona (ZSK), que firman los registros de la zona.
• Establecer claves de firmas de clave (KSK), que firman los registros de la clave en la zona y ayudan a construir la jerarquía de confianza.
• Generar una zona sin firmar.
• Firmar la zona.
• Probar el sistema de firmas en un entorno de prueba sin conexión.
• Introducir paulatinamente la firma, por ejemplo, usándola primero en la red interna, para asegurarse de que todo siga funcionando correctamente.

Administración permanente de las claves
Las DNSSEC exigen que las claves privadas se cambien como un procedimiento de rutina, para minimizar el riesgo de que un tercero potencialmente malintencionado obtenga la clave. La sustitución de clave consiste en cambiar el par de claves de una zona y volver a firmar la zona con la clave privada nueva. Si se sustituye la KSK, deberá actualizar el registro con la información nueva de la clave pública (registros del DS).

Las siguientes tareas están relacionadas con la administración de claves:

• Controlar las sustituciones de claves (programadas y de emergencia) para las ZKS y las KSK.
• Realizar las tareas programas de volver a firmar los registros de recursos relacionados con la seguridad.
• Actualizar la zona primaria con registros de la delegación firmante (DS) en base a las KSK.

Otras consideraciones
El alojamiento de una zona firmada exige la implementación de servidores de nombres compatibles con las DNSSEC. La administración de las claves exige hardware y software especializado en las DNSSEC. La implementación y la administración de estos componentes es un proceso complejo y que lleva mucho tiempo. Existen varias opciones: desarrollar una solución de uso interno para las DNSSEC, comprar productos comerciales de DNS compatibles con las DNSSEC o trabajar con un proveedor de servicios administrados que esté capacitado y realice la administración de claves y firmas de las DNSSEC.

Para la solución de uso interno o de productos comerciales, deberá programar y planificar con cuidado la integración de dispositivos nuevos en su sistema. Además, debe probar la implementación fuera del entorno de producción para asegurarse de que los dispositivos funcionan correctamente cuando se habilitan las DNSSEC. A estos efectos, está disponible el entorno de pruebas operacionales de Verisign (OTE), sin cargo para los registradores de .net y .com.

También debe investigar si sus dispositivos de red antiguos y actuales son compatibles con las DNSSEC. Por ejemplo, ¿pueden controlar los paquetes de las DNSSEC, que pueden ser más grandes que los paquetes tradicionales? ¿Soportan el protocolo de control de transmisión (TCP) y los mecanismos de extensión para los paquetes de DNS?

Los registradores pueden dar pasos calculados para cumplir el objetivo de contar con un sistema con las DNSSEC habilitadas que ayude a mantener la confianza de los registrantes y los usuarios finales, les ofrezca nuevas oportunidades para generar ingresos y les proporcione una ventaja competitiva. En base a las perspectivas de expertos de la industria y las lecciones aprendidas durante la implementación de las DNSSEC en la zona de raíz, .edu, .net y .com, le recomendamos que siga estos pasos para comenzar.

Exploración y educación

• Comprenda cómo encajan las DNSSEC dentro de su estrategia de seguridad informática.
• Conozca los beneficios y desafíos de la implementación de las DNSSEC
• Comprenda la criptografía de clave pública, los estándares de cifrado y cómo funcionan en conjunto las claves públicas y privadas y las firmas digitales.
• Asegúrese de que su personal de TI y de atención al cliente reciba una capacitación adecuada.
• Planifique estrategias para informar a los registrantes sobre las DNSSEC.

Planificación

• Establezca un cronograma para la adopción de las DNSSEC.
• Decida cómo integrará las DNSSEC en su arquitectura de DNS existente.
• Considere las opciones de implementación: desarrollo interno, productos comerciales de DNS compatibles con las DNSSEC o servicios administrados.

Evaluación y actualización

• Determine el impacto, si lo hubiere, de las DNSSEC sobre el ancho de banda de la red. (Las DNSSEC aumentan el tráfico de la red.)
• Considere el efecto de las DNSSEC sobre la administración del DNS.
• Revise y actualice la seguridad y las políticas de administración de claves para incluir cronogramas para la sustitución de claves, considere las nuevas funciones y responsabilidades que implican las DNSSEC y proporcione un almacenamiento seguro para las claves.
• Asegúrese de que su red esté configurada correctamente y de que las definiciones de la zona sean correctas y estén completas.
• Pregunte a los proveedores de hardware qué lugar ocupan las DNSSEC en su estrategia y si existen mejoras disponibles para los dispositivos de red que posee.
• Actualice el hardware de DNS y el software del servidor de nombres, según sea necesario, para que sean compatibles con las DNSSEC.
• Evalúe los productos y servicios compatibles con la implementación.

Participación

• Regístrese en el foro para registradores de Verisign.
• Use el entorno de pruebas operacionales de Verisign (OTE), que le permite probar la implementación de las DNSSEC.
• Trabaje junto con consorcios de la industria, organismos de estándares y proveedores de software y hardware para contribuir al desarrollo de soluciones y enfoques que cumplan con las necesidades de su organización.

Verisign se compromete a reducir los costos de la implementación de las DNSSEC y a ayudarlo a identificar la mejor estrategia de implementación de las DNSSEC según su situación. Verisign ofrece los siguientes servicios y herramientas para simplificarle la implementación de las DNSSEC a la comunidad de registradores:

• Ayudar a proteger a los clientes y la marca del registrante.
• Mantener la lealtad y la confianza de los registrantes.
• Atraer y retener a los registrantes que se concentran en la seguridad y la reputación.
• Generar nuevas ofertas de servicios, como firma de zonas para registrantes.
• Abrir la puerta al uso del DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, la publicación de otros tipos de claves públicas y la autenticación del origen de correos electrónicos).
• Proteger sus negocios principales a través de un aumento de la confianza en internet.
• Ejercer liderazgo e influencia para moldear el futuro de las DNSSEC.

Verisign se compromete a reducir los costos de la implementación de las DNSSEC y a ayudarlo a identificar la mejor estrategia de implementación de las DNSSEC según su situación. Verisign ofrece los siguientes servicios y herramientas para simplificarle la implementación de las DNSSEC a la comunidad de registradores:

Find out if your website is DNSSEC enabled]]>