Inovação

Extensões de segurança do sistema de nomes de domínio (DNSSEC)

Autenticando a Internet de ponta a ponta

Perguntas frequentes sobre as DNSSEC

O que as DNSSEC fazem?

As DNSSEC protegem a comunidade da Internet contra dados de DNS falsos usando criptografia de chave pública para assinar digitalmente os dados da zona de autoridade. A validação das DNSSEC garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. As DNSSEC também podem provar que um nome de domínio não existe.

Embora as DNSSEC aumentem a segurança do DNS, elas não são uma solução abrangente. Elas não protegem contra ataques distribuídos de negação de serviço (DDoS), não garantem a confidencialidade de trocas de dados, não criptografam dados de sites ou impedem o uso de IPs falsos ou roubo de IP. Outras camadas de proteção, como mitigação contra DDoS, inteligência da segurança, criptografia com Secure Sockets Layer (SSL) e validação de sites, bem como autenticação de dois fatores, também são muito importantes para tornar a Internet mais segura. Esses mecanismos deverão ser usados em conjunto com as DNSSEC.

Quem se beneficia com as DNSSEC?

As DNSSEC afetam todos os componentes dentro do ecossistema de infraestrutura da Internet. Sua implantação efetiva exigirá o envolvimento de muitos grupos interessados na comunidade da Internet. Registradores, distribuidores autorizados de domínios, solicitantes de registro de nomes de domínio, fornecedores de hardware e software, provedores de Internet e entidades governamentais, bem como os usuários comuns da Internet: todos têm papéis a desempenhar para garantir o sucesso e trazer melhorias vitais para a segurança da Internet. As DNSSEC beneficiam:

  • A comunidade da Internet ao melhorar a segurança nas zonas assinadas.
  • Distribuidores autorizados de domínios, permitindo que eles ofereçam serviços de assinatura de domínio para seus clientes.
  • ISPs, ao aumentar a segurança dos dados enviados aos seus clientes.
  • Os usuários, protegendo-os das vulnerabilidades do DNS, como contaminação do cache e ataques man-in-the-middle.

Como funcionam as DNSSEC?

Nas DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados do DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS. As DNSSEC usam um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. As zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores de nomes autorizados para essas zonas podem ser gerenciados pelos distribuidores autorizados de domínios, provedores, empresas de hospedagem ou pelos próprios operadores dos sites (solicitantes de registro).

Quando um usuário final quer acessar um site, um solucionador simples do sistema operacional do usuário solicita o registro de nome do domínio a partir de um servidor de nomes recursivo localizado em um ISP. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor de nomes autorizado.

Se o servidor de nomes recursivo determinar que o registro de endereço foi enviado pelo servidor de nomes autorizado e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. As DNSSEC também podem provar que um nome de domínio não existe.

De que forma as DNSSEC solucionam o problema geral de segurança na Internet?

Há muitas peças no quebra-cabeça global de segurança na Internet. As DNSSEC têm o potencial de mitigar as preocupações de segurança geradas por ataques "man-in-the-middle" e contaminação do cache, mas esta não é uma solução de segurança global. As DNSSEC não resolvem muitas das ameaças mais comuns à segurança da Internet, como spoofing ou phishing. Por isso, outras camadas de proteção como certificados SSL e autenticação de dois fatores são fundamentais para tornar a Internet segura para todos.

Como um usuário seria informado sobre um ataque?

A comunidade da Internet ainda não inventou um sistema padronizado para informar os usuários de um ataque. Uma possível solução seria desenvolver navegadores “sensíveis às DNSSEC”, que notifiquem os usuários que forem encaminhados para destinos autenticados.

O que a Verisign está fazendo para implementar as DNSSEC?

Em julho de 2010, a Verisign – em conjunto com a Autoridade para Atribuição de Números da Internet (IANA) e o Departamento de Comércio dos Estados Unidos (DoC) – concluiu a implantação das DNSSEC na zona raiz (o ponto de partida da hierarquia de DNS). A Verisign também habilitou as DNSSEC no .edu em julho de 2010, em colaboração com a EDUCAUSE e o DoC no .net em dezembro de 2010, e no .com em março de 2011.

Qual é a estratégia de implementação das DNSSEC da Verisign?

Nossa estratégia de implementação das DNSSEC é começar com as zonas menores primeiro e avaliar cada implantação de acordo com as lições aprendidas antes de passar para a próxima zona. Como a zona .com é a maior de todas, ela será a última assinada. Queremos obter o máximo possível de experiência antes de lidar com o domínio responsável por grande parte do comércio e das comunicações pela Internet.

O que é preciso para que as DNSSEC sejam um sucesso?

A implantação bem-sucedida das DNSSEC traz benefícios muito mais abrangentes para a comunidade global da Internet através do aumento da confiança em uma infinidade de atividades na Internet, inclusive comércio online, atividades bancárias online, e-mail, VoIP e distribuição on-line de softwares. No entanto, a responsabilidade do sucesso das DNSSEC é de toda a comunidade da Internet. O sucesso exige a participação ativa e coordenada de distribuidores autorizados de domínios, solicitantes de registros, empresas de hospedagem, desenvolvedores de software, fornecedores de hardware, entidades governamentais e tecnólogos e coligações da Internet.

Quem adotou ou implementou as DNSSEC?

A zona raiz da Internet, os domínios de primeiro nível (TLDs) como .gov, .org, .museum, e vários TLDs com códigos de país (ccTLDs), assinaram as zonas que eles gerenciam. Outros TLDs, como .edu, .net e .com, implementaram as DNSSEC em 2010 e 2011. Esses TLDs começaram a aceitar nomes de domínio de segundo nível assinados pelas DNSSEC. Grandes provedores de serviços de Internet, como a Comcast, ativaram a validação nos servidores de nomes recursivos que respondem perguntas dos usuários, e alguns distribuidores autorizados de domínios incluíram a implementação das DNSSEC em seus roteiros. Além disso, a Corporação da Internet para Atribuição de Nomes e Números (Internet Corporation for Assigned Names and Numbers - ICANN) abriu aplicações para novos TLDs, e é provável que os planos para a implementação das DNSSEC serão obrigatórios para aceitar uma nova solicitação de TLD.

Quando as DNSSEC forem implementadas, o Secure Sockets Layer (SSL) ainda será necessário?

Embora tanto as DNSSEC quanto o SSL sejam baseados em criptografia de chave pública, eles desempenham funções muito diferentes que se complementam, em vez de substituir uma à outra.

Em um modelo muito simplista, as DNSSEC cuidam de “onde” e o SSL cuida de “quem” e “como”.

  • Onde: as DNSSEC utilizam assinaturas digitais para verificar a integridade dos dados DNS, garantindo que os usuários acessem o endereço IP pretendido. Seu trabalho é feito quando o usuário acessa o endereço. As DNSSEC não garantem a identidade da entidade no endereço e não criptografam as interações entre o usuário e o site.
  • Quem: o SSL usa certificados digitais para validar a identidade de um site. Quando esses certificados são emitidos por autoridades certificadoras (CAs) externas e confiáveis, o SSL assegura aos usuários a identidade do proprietário do site. No entanto, o SSL não faz nada para garantir que o usuário chegue ao local correto, não sendo assim aplicável contra ataques que redirecionam os usuários. Em outras palavras, a validação de sites por SSL é eficaz, mas somente quando o usuário alcança o destino correto primeiro.
  • Como: o SSL também utiliza certificados digitais para criptografar o intercâmbio de dados entre um usuário e um site, protegendo assim a confidencialidade das transações financeiras, comunicações, comércio eletrônico e outras interações confidenciais.

Quando utilizados em conjunto, as DNSSEC e o SSL aumentam a segurança e a confiança na Internet: os usuários podem ter certeza a respeito do seu destino, de com quem estão interagindo e do quanto suas interações são confidenciais.

As DNSSEC são obrigatórias por lei ou por padrões de mercado?

O memorando 08-23 do Escritório de Gestão e Orçamento dos Estados Unidos (OMB) determinou que as DNSSEC fossem implementadas no domínio de primeiro nível .gov até janeiro de 2009 e que os órgãos federais dos EUA implementassem as DNSSEC em sites externos até dezembro de 2009. O registro do .gov foi assinado no início de 2009. A Agência de Defesa de Sistemas de Informação dos Estados Unidos (DISA) também pretende atender às exigências das DNSSEC do OMB para o domínio .mil. As regulamentações do U.S. Federal Information Security Management Act (FISMA) exigem que as agências assinem suas zonas de intranet com as DNSSEC até meados de 2010. Atualmente, não há exigências para que as operadoras de websites públicos protejam seus domínios com as DNSSEC.

Qual é a história das DNSSEC?

1994: publicado primeiro rascunho a respeito de uma norma padrão
1997: publicada a RFC (Request For Comments) 2065 (as DNSSEC são um padrão IETF) 

1999: publicada a RFC 2535 (o padrão DNSSEC é revisado) 

2005: Os padrões publicados foram totalmente reescritos
 - RFC 4033 (introdução e requisitos) 
RFC 4034 (registro de novos recursos) 
RFC 4035 (alterações no protocolo) 

Julho de 2010: zona raiz assinada 

Julho de 2010: .edu assinado 

Dezembro de 2010: .net assinado 

Fevereiro de 2011: o registro .gov habilitado para as DNSSEC é transferido para a Verisign 

Março de 2011: .com assinado 

Março de 2011: o serviço de DNS gerenciando da Verisign é aprimorado com suporte total à conformidade das DNSSEC 

Janeiro de 2012: a Comcast anuncia que seus clientes estão utilizando solucionadores de validação das DNSSEC 

Março de 2012: o número de TLDs assinados cresce para 90