Inovação

Extensões de segurança do sistema de nomes de domínio (DNSSEC)

Autenticando a Internet de ponta a ponta.

Desenvolve as DNSSEC desde o início

A Verisign está envolvida no desenvolvimento do protocolo DNSSEC desde 2000, e nossos engenheiros desempenharam um papel essencial no desenvolvimento do protocolo de Negação de Existência Autenticada em Hash (NSEC3) de DNSSEC. Conforme os testes, a implementação e a adoção das DNSSEC avançam, continuaremos a colaborar com a comunidade técnica da Internet e participar de organizações do setor.

O protocolo Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) pode fortalecer a confiança na Internet, ajudando a proteger os usuários de redirecionamentos para sites fraudulentos e endereços indesejados.

Em julho de 2010, a Verisign, ao trabalhar com a Autoridade de Atribuição de Números da Internet e com o Departamento de Comércio dos Estados Unidos (DoC), concluiu a implantação do protocolo DNSSEC na zona raiz (o ponto de partida da hierarquia de DNS). A Verisign também habilitou o DNSSEC no .edu em julho, em colaboração com a EDUCAUSE e o DoC no .net em dezembro de 2010, e no .com em março de 2011. A adoção das DNSSEC avançou desde 2011, com pouco mais de 1/3 de registros que operam domínios de primeiro nível (TLDs) assinados.

Além disso, estamos tomando várias medidas para ajudar os membros do ecossistema da Internet a aproveitar o DNSSEC. Essas etapas incluem a publicação de recursos técnicos, oferecendo um Ambiente de Teste Operacional, conduzindo sessões educacionais, participando de fóruns do setor e desenvolvendo ferramentas para simplificar o gerenciamento de DNSSEC.

A Verisign está comprometida em servir como guia de confiança na Internet. Como registro dos domínios .com e .net e fornecedor de importantes serviços de infraestrutura da Internet, nosso objetivo é permitir inovações na Internet, ao mesmo tempo que protegemos a comunidade da Internet contra as ameaças virtuais novas e emergentes. Nosso trabalho com as DNSSEC é mais um dos passos na fortificação e no investimento contínuo na infraestrutura da Internet.


Cronologia do DNSSEC

1990 É descoberta uma grande falha no DNS, e os diálogos sobre a segurança do DNS começam.
1995 O DNSSEC se torna um tópico formal no IETF.
1999 O protocolo DNSSEC (RFC2535) é finalizado e o BIND9 é desenvolvido como a primeira implementação habilitada para DNSSEC.
2001 A manipulação de chaves cria problemas operacionais que tornam impossível a implantação do DNSSEC para grandes redes. O IETF decide reescrever o protocolo.
2005 Os padrões do DNSSEC são reescritos em vários RFCs 4033, 4034, 4035. Em outubro, a Suécia (.se) habilita o DNSSEC na sua zona.
2007 Em julho, o ccTLD .pr (Porto Rico) habilita o DNSSEC, seguido pelo .br (Brasil) em setembro e pelo .bg (Bulgária) em outubro.
2008 O padrão NSEC3 (RFC 5155) é publicado. Em setembro, o ccTLD .cz (República Tcheca) habilita o DNSSEC.
2009 A Verisign e a EDUCAUSE hospedam um banco de ensaio de DNSSEC para alguns solicitantes de registro .edu. Zona raiz assinada para uso interno pela Verisign e ICANN. A ICANN e a Verisign exercem a assinatura do ZSK com o KSK.
2010 O primeiro servidor raiz começa servindo a raiz assinada, utilizando a metodologia DURZ (zona de raiz deliberadamente invalidável). Todos os servidores raiz servem a raiz assinada, usando a metodologia DURZ. A ICANN oferece o primeiro cerimonial do KSK em Culpeper, VA, EUA. A ICANN publica a âncora de confiança da zona raiz e os operadores de raiz começam a servir a zona raiz assinada com chaves reais. A zona raiz assinada está disponível. A Verisign e a EUDCAUSE habilitam o DNSSEC para o domínio .edu. A Verisign habilita o DNSSEC para o domínio .net.
2011 Em fevereiro de 2011, o registro .gov habilitado para DNSSEC é transferido para a Verisign. Em março de 2011, o serviço de DNS gerenciado da Verisign é aprimorado com suporte total à conformidade de DNSSEC. 59 TLDs são assinados com âncoras de confiança na zona raiz.
2012 Em janeiro de 2012, a Comcast anuncia que seus clientes estão utilizando solucionadores de validação DNSSEC. A partir de março, o número de TLDs assinados cresceu para 90.