A medida que la adopción de las DNSSEC tome impulso, es probable que las DNSSEC se conviertan en una condición obligatoria en la industria de los registradores, debido a los requisitos internos, como el control de riesgos, y a la exigencia de una experiencia de Internet más segura por parte de los consumidores

Los registradores desempeñan una función clave para el éxito de las DNSSEC. Algunos proveedores de servicios de Internet (ISP) y registradores .net/.com ya están trabajando para implementar las DNSSEC. Debido a que la implementación de las DNSSEC es un proceso complejo, Verisign aboga por un enfoque cuidadoso y metódico. Los registradores deben comenzar pronto para contar con bastante tiempo para planificar, desplegar, probar y refinar la implementación de las DNSSEC.

Al actuar ahora mismo, los registradores pueden establecerse como líderes intelectuales y modelos a seguir, diferenciarse de la competencia y aprovechar antes que nadie las nuevas oportunidades para generar ingresos. Como primeros adoptantes, pueden ser capaces de influir en el desarrollo de productos y servicios (y otras iniciativas de la industria) que respalden y beneficien a su empresa.

Beneficios de las DNSSEC para los registradores preventivos
Las DNSSEC son un ingrediente clave para un enfoque estratificado de la seguridad en Internet. Si agregan esta importante capa de forma preventiva, los registradores pueden:

• Ayudar a proteger a los clientes y la marca del registrante.
• Mantener la lealtad y la confianza de los registrantes.
• Atraer y retener a los registrantes que se concentran en la seguridad y la reputación.
• Generar nuevas ofertas de servicios, como firma de zonas para registrantes.
• Abrir la puerta al uso del DNS para nuevos tipos de transacciones seguras de datos (por ejemplo, la publicación de otros tipos de claves públicas y la autenticación del origen de correos electrónicos).
• Proteger sus negocios principales a través de un aumento de la confianza en Internet.
• Ejercer liderazgo e influencia para moldear el futuro de las DNSSEC.

Las DNSSEC presentan cambios complejos que afectan a todas las partes en la cadena de consulta y resolución de DNS, en especial a los registradores y otras entidades de alojamiento que administran servidores de nombres autoritativos y proporcionan servicios de administración de claves para los registrantes. Contamos con herramientas y trabajaremos con usted para garantizar la implementación exitosa de las DNSSEC.

Para desarrollar los servicios nuevos que los registrantes exigirán una vez implementadas las DNSSEC, deberá firmar los nombres de dominio del registrante. La habilitación de las DNSSEC para un registrante implica la creación de pares de claves pública y privada para el nombre del dominio, la creación y firma de la zona y la administración de los pares de claves. Estos procesos garantizan que los resolvedores que cuentan con las DNSSEC dentro del ecosistema de Internet puedan verificar la autenticidad de las respuestas que otorga la zona.

También deberá modificar la interfaz para que sus clientes acepten los datos de las claves de las DNSSEC y la interfaz de su protocolo de aprovisionamiento extensible (EPP) para pasar los datos de las claves de las DNSSEC a los registros con los que interactúa.

Firma de zonas
Las siguientes tareas están relacionadas con la configuración y la firma de una zona:

• Establecer claves de firmas de zona (ZSK), que firman los registros de la zona.
• Establecer claves de firmas de clave (KSK), que firman los registros de la clave en la zona y ayudan a construir la jerarquía de confianza.
• Generar una zona sin firmar.
• Firmar la zona.
• Probar el sistema de firmas en un entorno de prueba sin conexión.
• Introducir paulatinamente la firma, por ejemplo, usándola primero en la red interna, para asegurarse de que todo siga funcionando correctamente.

Administración de claves continua
Las DNSSEC exigen que las claves privadas se cambien periódicamente para minimizar el riesgo de que un actor malicioso obtenga la clave. La sustitución de clave consiste en cambiar el par de claves de una zona y volver a firmar la zona con la clave privada nueva. Si se sustituye la KSK, deberá actualizar el registro con la información nueva de la clave pública (registros del DS).

Las siguientes tareas están relacionadas con la administración de claves:

• Controlar las sustituciones de claves (programadas y de emergencia) para las ZKS y las KSK.
• Realizar las tareas programas de volver a firmar los registros de recursos relacionados con la seguridad.
• Actualizar la zona primaria con registros de delegation signer (DS) en base a las KSK.

Consideraciones adicionales
El alojamiento de una zona firmada exige la implementación de servidores de nombres compatibles con las DNSSEC. La administración de las claves exige hardware y software especializado en las DNSSEC. La implementación y la administración de estos componentes es un proceso complejo que lleva mucho tiempo. Existen varias opciones: desarrollar una solución de uso interno para las DNSSEC, comprar productos comerciales de DNS compatibles con las DNSSEC o trabajar con un proveedor de servicios administrados que esté capacitado y realice la administración de claves y firmas de las DNSSEC.

Para la solución de uso interno o de productos comerciales, deberá programar y planificar con cuidado la integración de dispositivos nuevos en su sistema. Además, debe probar la implementación fuera del entorno de producción para asegurarse de que los dispositivos funcionan correctamente cuando se habilitan las DNSSEC. A estos efectos, está disponible el entorno de pruebas operativas de Verisign (OTE, del inglés Operational Test Environment), sin cargo para los registradores de .net y .com.

También debe investigar si sus dispositivos de red antiguos y actuales son compatibles con las DNSSEC. Por ejemplo, ¿pueden controlar los paquetes de las DNSSEC, que pueden ser más grandes que los paquetes tradicionales? ¿Soportan el protocolo de control de transmisión (TCP) y los mecanismos de extensión para los paquetes de DNS? Una forma de determinar cómo funcionan estos componentes con las DNSSEC es probarlos en el laboratorio de interoperabilidad de Verisign, cuyo uso también es gratuito.

Los registradores pueden dar pasos calculados para cumplir el objetivo de contar con un sistema con las DNSSEC habilitadas que ayude a mantener la confianza de los registrantes y los usuarios finales, les ofrezca nuevas oportunidades para generar ingresos y les proporcione una ventaja competitiva. En base a las perspectivas de expertos de la industria y las lecciones aprendidas durante la implementación de las DNSSEC en la zona de raíz, .edu, .net y .com, le recomendamos que siga estos pasos para comenzar.

Exploración y educación

• Comprenda cómo encajan las DNSSEC dentro de su estrategia de seguridad cibernética.
• Conozca los beneficios y desafíos de la implementación de las DNSSEC
• Comprenda la criptografía de clave pública, los estándares de cifrado y cómo funcionan en conjunto las claves públicas y privadas y las firmas digitales.
• Asegúrese de que su personal de TI y atención al cliente reciba una capacitación adecuada.
• Planifique estrategias para informar a los registrantes sobre las DNSSEC.

Planificación

• Establezca un cronograma para la adopción de las DNSSEC.
• Decida cómo integrará las DNSSEC en su arquitectura de DNS existente.
• Considere las opciones de implementación: desarrollo interno, productos comerciales de DNS compatibles con las DNSSEC o servicios administrados.

Evaluación y actualización

• Determine el impacto, si lo hubiere, de las DNSSEC sobre el ancho de banda de la red. (Las DNSSEC aumentan el tráfico de la red.)
• Considere el efecto de las DNSSEC sobre la administración de DNS.
• Revise y actualice la seguridad y las políticas de administración de claves para incluir cronogramas para la sustitución de claves, considere las nuevas funciones y responsabilidades que implican las DNSSEC y proporcione un almacenamiento seguro para las claves.
• Asegúrese de que su red esté configurada correctamente y de que las definiciones de la zona sean correctas y estén completas.
• Pregunte a los proveedores de hardware qué lugar ocupan las DNSSEC en su estrategia y si existen mejoras disponibles para los dispositivos de red que posee.
• Actualice el hardware de DNS y el software del servidor de nombres, según sea necesario, para que sean compatibles con las DNSSEC.
• Evalúe los productos y servicios compatibles con la implementación.

Participación

• Regístrese en el foro para registradores de Verisign.
• Use el entorno de pruebas operativas de Verisign (OTE), que le permite probar la implementación de las DNSSEC.
• Trabaje junto con consorcios de la industria, organismos de estándares y proveedores de software y hardware para contribuir al desarrollo de soluciones y enfoques que cumplan con las necesidades de su organización.

Verisign se compromete a reducir los costos de la implementación de las DNSSEC y a ayudarlo a identificar la mejor estrategia de implementación de las DNSSEC según su situación. Hemos desarrollado una variedad de herramientas, servicios y otros recursos para ayudarlo con la implementación y la administración de las DNSSEC.

Verisign ofrece los siguientes servicios y herramientas para simplificarle la implementación de las DNSSEC a la comunidad de registradores: