Perguntas frequentes sobre DNSSEC  

O Sistema de Nome de Domínio (DNS)

O que é DNS?
Como o DNS funciona?
Por que o DNS é vulnerável?
O que é envenenamento de cache?
O que são ataques "man-in-the-middle" (MITM)?

DNSSEC

O que o DNSSEC faz?
Quem se beneficia com o DNSSEC?
Como o DNSSEC funciona?
De que forma o DNSSEC soluciona o problema geral de segurança na Internet? Ele funciona bem?
Como um usuário seria informado sobre um ataque?
O que a Verisign está fazendo para implementar o DNSSEC?
Qual é a estratégia de implementação do DNSSEC da Verisign?
O que é preciso para que o DNSSEC seja um sucesso?
Quem adotou ou implementou o DNSSEC?
Quando o DNSSEC for implementado, o Secure Sockets Layer (SSL) ainda será necessário?
O DNSSEC é exigido por lei ou padrões do setor?
Qual é a história do DNSSEC?

Distribuidores autorizados de domínios

Qual será o impacto da implementação do DNSSEC nas empresas de registro de domínio?
O que a Verisign está fazendo para ajudar empresas de registro de domínio .com/.net?
Os consumidores podem adquirir o DNSSEC? Como isso funciona?

ISPs, Fornecedores e Operadores de Sites (usuários finais que registram domínios)

O que os provedores de serviços de internet (ISPs) têm que fazer?
Que papel têm os revendedores de hardware no DNSSEC?
Como os desenvolvedores de software podem dar suporte ao DNSSEC?
O que é o Laboratório de Interoperabilidade de DNSSEC da Verisign?
Como os operadores de sites podem habilitar o DNSSEC?
Qual o papel dos criadores de políticas no sucesso do DNSSEC?

 

Respostas do Sistema de Nome de Domínio (DNS)

O que é DNS? 
O DNS é o sistema de endereçamento da Internet. Quase tudo que interage com a Internet (por exemplo: computadores, dispositivos portáteis, laptops, caixas eletrônicos e terminais POS) se baseia em serviços de DNS para trocar informações. O DNS usa servidores especializados para traduzir (ou resolver) nomes como www.verisigninc.com em endereços numéricos que permitem que os dados e as informações cheguem ao seu destino. Todos os aplicativos da Internet, desde sites, e-mail, redes sociais e serviços bancários online até o Protocolo VoIP, o compartilhamento de arquivos e os vídeos sob demanda, dependem da exatidão e integridade dessa tradução. Sem o DNS, a Internet não pode funcionar. O DNS é essencial para infraestrutura de uma nação, as operações de negócios on-line e as transações financeiras, bem como para todas as comunicações baseadas na Internet. Voltar ao topo

Como o DNS funciona? 
O espaço de nomes de domínios consiste de uma árvore de nomes de domínio subdividida em zonas. O nível mais alto ou zona de raiz é administrado pelo Departamento de Comércio dos Estados Unidos (DoC) e gerenciado conjuntamente pela Verisign e pelos operadores de funções da Internet Assigned Numbers Authority (IANA), que mantêm os dados nos servidores de nome raiz. Saiba mais sobre o DNS.

Uma zona DNS é constituída por um conjunto de nós conectados oferecido por um servidor autorizado de nomes. Servidores autorizados de nomes para zonas diferentes são responsáveis pela publicação dos mapeamentos dos nomes de domínio para os endereços IP. Cada nó ou folha da árvore contém zero ou mais registros de recursos, que sustentam as informações associadas com o nome de domínio. Todo nome de domínio termina com um domínio de nível superior (TLD), como .com ou .tv.

Para que a Internet possa funcionar e para evitar a duplicação de nomes de domínio, é necessário que haja um local autorizado para o registro dos nomes de domínio. Cada TLD tem um registro oficial, que gerencia um banco de dados centralizado. O registro propaga as informações sobre os nomes de domínios e os endereços IP em arquivos de zonas TLD. Os arquivos de zonas TLD mapeiam nomes de domínio de segundo nível ativos (a parte do nome do domínio que aparece imediatamente à esquerda do “.”) para os endereços IP únicos dos servidores de nomes. Saiba mais sobre o registro e os nomes de domínios. Voltar ao topo

Por que o DNS é vulnerável? 
Por que o DNS é vulnerável?O processo de traduzir um nome de domínio em um endereço IP é chamado de resolução de DNS. Quando alguém digita um nome de domínio, como www.verisign.com, em um navegador da Web, o navegador entra em contato com um servidor de nomes para obter o endereço IP correspondente. Existem dois tipos de servidores de nomes: os servidores autorizados de nomes, que armazenam informações completas sobre uma zona, e os servidores recursivos de nomes, que respondem a consultas de DNS para os usuários da Internet e armazenam os resultados da resposta do DNS por um período de tempo. Quando um servidor recursivo de nomes recebe uma resposta, ele armazena em cache essa resposta para acelerar as consultas subsequentes. O armazenamento em cache ajuda a reduzir o número de pedidos de informação necessários, mas é suscetível a ataques do tipo man-in-the-middle.

Como resultado desses ataques, os criminosos da Internet podem:

  • Invadir e-mails
  • Grampear comunicações VoIP
  • Falsificar sites
  • Roubar senhas e informações de login
  • Extrair dados de cartões de crédito e outras informações confidenciais

Saiba mais sobre as ameaças ao sistema de DNS. Voltar ao topo

O que é envenenamento de cache? 
O envenenamento de cache ocorre quando são inseridos dados fraudulentos de DNS no cache de um servidor recursivo de nomes. Os servidores recursivos de nomes armazenam temporariamente, ou em cache, as informações aprendidas durante o processo de resolução de nomes, mas sem o DNSSEC eles não têm nenhuma forma de garantir a validade e a precisão das informações. Quando as informações malignas são armazenadas em cache no servidor recursivo de nomes, o servidor é considerado “envenenado”. O envenenamento do cache permite que um atacante redirecione o tráfego para sites fraudulentos. Voltar ao topo

O que são ataques man-in-the-middle (MITM)? 
Um ataque MITM sorrateiramente intercepta e modifica as comunicações entre dois sistemas. O atacante pode potencialmente alterar a comunicação para redirecionar o tráfego para um endereço ou site ilegítimo. Os usuários finais não detectam o “man in the middle” e assumem que estão se comunicando diretamente com o destino pretendido. Voltar ao topo

Respostas DNSSEC

O que o DNSSEC faz? 
O DNSSEC protege a comunidade da Internet contra de dados de DNS falsos usando criptografia de chave pública para assinar digitalmente os dados da zona de autoridade. A validação do protocolo DNSSEC garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. O DNSSEC também pode provar que um nome de domínio não existe.

Embora o DNSSEC aumente a segurança do DNS, ele não é uma solução abrangente. Ele não protege contra ataques distribuídos de negação de serviço (DDoS), não garantem a confidencialidade de trocas de dados, não criptografam dados de sites nem impedem o uso de IPs falsos ou roubo de IP. Outras camadas de proteção, como mitigação de DDoS, inteligência da segurança, criptografia com Secure Sockets Layer (SSL) e validação de sites, bem como autenticação com dois fatores, também são muito importantes para tornar a Internet mais segura. Esses mecanismos deverão ser usados em conjunto com o DNSSEC. Voltar ao topo

Quem se beneficia com o DNSSEC? 
O DNSSEC afeta todos os componentes dentro do ecossistema de infraestrutura da Internet. Sua implantação efetiva exigirá o envolvimento de muitos grupos interessados na comunidade da Internet. Registradores, empresas de registro de nomes de domínio, fornecedores de hardware e software, provedores de serviços de Internet e entidades governamentais, bem como os usuários comuns da Internet: todos têm papéis a desempenhar para garantir o sucesso e trazer melhorias vitais para a segurança da Internet.

Benefícios do DNSSEC:

  • A comunidade da Internet através da melhora da segurança nas zonas assinadas.
  • As empresas de registro de domínios, permitindo que elas ofereçam serviços de assinatura de domínio para seus clientes.
  • ISPs, através do aumento da segurança dos dados enviados aos seus clientes.
  • Os usuários, protegendo-os das vulnerabilidades de DNS, como envenenamento de cache e ataques man-in-the-middle.

Voltar ao topo

Como o DNSSEC funciona? 
No DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados de DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

A DNSSEC usa um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. As zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores autorizados de nomes para essas zonas podem ser gerenciados por empresas de nomes de domínio, ISPs, empresas de hospedagem ou pelos próprios operadores dos sites.

Quando um usuário final quer acessar um site, um resolvedor stub do sistema operacional do usuário solicita o registro de nome do domínio a partir de um servidor recursivo de nomes localizado em um ISP. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor autorizado de nomes.

Se o servidor recursivo de nomes determinar que o registro de endereço foi enviado pelo servidor autorizado de nomes e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não for da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. O DNSSEC também pode provar que um nome de domínio não existe. Voltar ao topo

De que forma o DNSSEC soluciona o problema geral de segurança na Internet? Ele funciona bem? 
Há muitas peças no quebra-cabeça global de segurança na Internet. O DNSSEC tem o potencial de mitigar as preocupações de segurança geradas por ataques "man-in-the-middle" e envenenamentos de cache, mas esta não é uma solução de segurança global. O DNSSEC não resolve muitas das ameaças mais comuns à segurança da Internet, como falsificações ou roubos. Por isso, outras camadas de proteção como certificados SSL e autenticação de dois fatores são fundamentais para tornar a Internet segura para todos. Voltar ao topo

Como um usuário seria informado sobre um ataque? 
A comunidade da Internet ainda não inventou um sistema padronizado para informar os usuários de um ataque. Uma possível solução seria desenvolver navegadores “sensíveis ao DNSSEC”, que notifiquem os usuários que forem encaminhados para destinos autenticados. Voltar ao topo

O que a Verisign está fazendo para implementar o DNSSEC? 
Em julho de 2010, a Verisign, trabalhando com a Internet Assigned Numbers Authority (IANA) e o Departamento de Comércio dos Estados Unido (DoC), concluiu a implantação do DNSSEC na zona raiz (o ponto de partida da hierarquia de DNS). A Verisign também habilitou o DNSSEC no .edu em julho de 2010, em colaboração com a EDUCAUSE e o DoC no .net em dezembro de 2010, e no .com em março de 2011. Voltar ao topo

Qual é a estratégia de implementação do DNSSEC da Verisign? 
Nossa estratégia de implementação do DNSSEC é começar com as zonas menores primeiro e avaliar cada implantação de acordo com as lições aprendidas antes de passar para a próxima zona. Como a zona .com é a maior de todas, ela será a última assinada. Queremos obter o máximo possível de experiência antes de lidar com o domínio responsável por grande parte do comércio e das comunicações via Internet. Voltar ao topo

O que é preciso para que o DNSSEC seja um sucesso? 
A implantação bem-sucedida do DNSSEC traz benefícios muito mais abrangentes para a comunidade global da Internet através do aumentando da confiança em uma infinidade de atividades na Internet, incluindo comércio online, atividades bancárias online, e-mail, VoIP e distribuição on-line de software. No entanto, a responsabilidade do sucesso do DNSSEC é de toda a comunidade da Internet. O sucesso exige a participação ativa e coordenada de empresas de registros, solicitantes de registros, empresas de hospedagem, desenvolvedores de software, fornecedores de hardware, entidades governamentais e tecnólogos e coligações da Internet. Voltar ao topo

Quem adotou ou implementou o DNSSEC? 
A zona raiz da Internet, os domínios de nível superior (TLDs) como .gov, .org, .museum, e vários TLDs com códigos de país (ccTLDs), assinaram as zonas que eles gerenciam. Outros TLDs, como .edu, .net e .com, implementaram o DNSSEC em 2010 e 2011. Esses TLDs começaram a aceitar nomes de domínio de segundo nível assinados por DNSSEC. Grandes provedores de serviços de Internet, como a Comcast, ativaram a validação nos servidores recursivos de nomes que respondem perguntas dos usuários, e algumas empresas de registro de domínios incluíram a implementação do DNSSEC em seus roteiros. Além disso, a Internet Corporation for Assigned Names and Numbers (ICANN) abriu aplicações para novos TLDs, e é provável que os planos para a implementação do DNSSEC será obrigatória para aceitar uma nova solicitação de TLD. Voltar ao topo

Quando o DNSSEC for implementado, o Secure Sockets Layer (SSL) ainda será necessário? 
Embora tanto o DNSSEC quanto o SSL sejam baseados em criptografia de chave pública, eles desempenham funções muito diferentes que se complementam, em vez de substituir uma à outra.

Em um modelo muito simplista, o DNSSEC cuida de “onde” e o SSL cuida de “quem” e “como”.

  • Onde: o DNSSEC utiliza assinaturas digitais para verificar a integridade dos dados DNS, garantindo assim que os usuários acessam o endereço IP pretendido. Seu trabalho é feito quando o usuário acessa o endereço. A DNSSEC não garante a identidade da entidade no endereço e não criptografa as interações entre o usuário e o site.
  • Quem: o SSL usa certificados digitais para validar a identidade de um site. Quando esses certificados são emitidos por autoridades de certificação (CAs) externas e confiáveis, o SSL assegura aos usuários a identidade do proprietário do site. No entanto, o SSL não faz nada para garantir que o usuário chegue ao local correto, não sendo assim aplicável contra ataques que redirecionam os usuários. Em outras palavras, a validação de sites via SSL é eficaz, mas somente quando o usuário primeiramente alcança o destino correto.
  • Como: o SSL também utiliza certificados digitais para criptografar o intercâmbio de dados entre um usuário e um site, protegendo assim a confidencialidade de transações financeiras, comunicações, comércio online e outras interações sensíveis.

Quando utilizados em conjunto, o DNSSEC e o SSL aumentam a segurança e a confiança na Internet: os usuários podem ter certeza a respeito do seu destino, de com quem estão interagindo e do quanto suas interações são confidenciais. Voltar ao topo

A DNSSEC é obrigatória por lei ou padrões de mercado? 
O memorando 08-23 do Escritório de Gestão e Orçamento dos Estados Unidos (OMB) determinou que o DNSSEC fosse implementado no domínio de nível superior .gov até janeiro de 2009 e que as agências federais dos Estados Unidos implementassem o DNSSEC em sites externos até dezembro de 2009. O registro do .gov foi assinado no início de 2009. A Agência de Defesa de Sistemas de Informação dos Estados Unidos (DISA) também pretende atender às exigências de DNSSEC do OMB para o domínio .mil. As regulamentações do U.S. Federal Information Security Management Act (FISMA) exigem que as agências assinem suas zonas de intranet com o DNSSEC até meados de 2010. Atualmente, não há exigências para que operadores de sites públicos protejam seus domínios com o DNSSEC. Voltar ao topo

Qual é a história do DNSSEC? 
1993: a discussão a respeito de DNSs seguros começa
1994: primeiro rascunho a respeito de uma norma padrão é publicado
1997: a RFC (Request For Comments) 2065 é publicada (o DNSSEC é um padrão IETF)
1999: a RFC 2535 é publicada (o padrão DNSSEC é revisado)
2005: uma reescrita completa dos padrões é publicada
RFC 4033 (Introdução e Requisitos)
RFC 4034 (Novos Registros de Recursos)
RFC 4035 (Alterações de Protocolo)
Julho de 2010: zona raiz assinada
Julho de 2010: .edu assinado
Dezembro de 2010: .net assinado
Fevereiro de 2011: o registro .gov habilitado para DNSSEC é transferido para a Verisign
Março de 2011: .com assinado
Março de 2011: o serviço de DNS gerenciando da Verisign é aprimorado com suporte total à conformidade de DNSSEC
Janeiro de 2012: a Comcast anuncia que seus clientes estão utilizando resolvedores de validação DNSSEC
Março de 2012: o número de TLDs assinados cresce para 90

Voltar ao topo

Respostas das empresas de registro de domínios

Qual será o impacto da implementação do DNSSEC nas empresas de registro de domínio? 
As empresas de registros de domínios deverão assinar os nomes de domínio para seus clientes (inscritos). Ativar o DNSSEC para um cliente envolve criar pares de chaves privada/pública para o nome do domínio, criar e assinar a zona e gerenciar os pares de chaves. Esses processos garantem que os resolvedores com DNSSEC ativo dentro do ecossistema da Internet possam verificar a autenticidade das respostas recebidas da zona. As empresas de registro de domínio também terão que modificar a interface para os seus clientes para aceitar os dados principais do DNSSEC. Além disso, será necessário modificar a interface do Protocolo de Provisionamento Extensível (EPP) para transmitir dados importantes do DNSSEC para os registros com os quais eles interagem. Voltar ao topo

O que a Verisign está fazendo para ajudar empresas de registro de domínio .com/.net? 
A Verisign está empenhada em baixar os custos de implementação do DNSSEC para as empresas de registro de domínio e a ajudar nossos afiliados a determinar suas estratégias de implementação do DNSSEC. A Verisign está fornecendo uma série de ferramentas, treinamento, serviços e apoio para ajudar as empresas de registro de domínios nos processos essenciais de gerenciamento e na implementação do DNSSEC nos seus servidores DNS.

Esse suporte inclui:

  • Um Ambiente de Teste Operacional para domínios .net e .com, que permite que as empresas de registro de domínios assegurem que a implementação da DNSSEC funcione corretamente.
  • Tutoriais DNSSEC fornecidos pelo Campo de Treinamento Técnico.
  • Um kit de desenvolvimento de software (SDK) e uma Ferramenta EPP. Acesse o EPP SDK.
  • O Fórum Técnico da DNSSEC.
  • Um Guia de Ferramentas de DNSSEC, que fornece uma visão geral das suítes de automação e ferramentas de código aberto relacionadas à DNSSEC disponíveis no mercado.
  • Uma ferramenta de linha de comando disponível para download, que permite que as empresas de registro de domínios tirem proveito de algumas ferramentas de código aberto para simplificar o gerenciamento de zonas de DNS e DNSSEC.
  • Notas técnicas sobre como as transferências de empresas de registro de domínio ocorrerão em um ambiente que utiliza DNSSEC (através do Fórum Técnico da DNSSEC).

Voltar ao topo

Os consumidores podem adquirir o DNSSEC? Como isso funciona? 
A Verisign está investindo no DNSSEC para fortalecer a infraestrutura da Internet. Empresas de registros de domínios e/ou prestadores de serviços podem optar por desenvolver serviços que permitem o uso da DNSSEC para seus clientes. O mercado determinará o modelo. Voltar ao topo

Respostas de ISPs, Fornecedores e Operadores de Sites (Solicitantes de Registros)

O que os provedores de serviços de internet (ISPs) têm que fazer? 
Para ajudar a propagar o DNSSEC por todo o ecossistema da Internet, os ISPs terão de permitir o uso do DNSSEC em seus servidores recursivos de nomes e assegurar a compatibilidade das suas infraestruturas de rede (por exemplo: firewalls, roteadores, switches e balanceadores de carga) com as respostas de DNS maiores, geradas pelo DNSSEC.

A maioria dos servidores recursivos de nomes disponíveis comercialmente já suportam DNSSEC e exigem somente uma atualização ou alteração de parâmetros. No entanto, as empresas de registros podem ter que atualizar ou substituir servidores de nomes antigos e dispositivos de rede existentes. Voltar ao topo

Que papel têm os revendedores de hardware no DNSSEC? 
O DNSSEC introduz alterações complexas em todo o ecossistema da Internet. Para garantir que os usuários da Internet se beneficiem dessa camada adicional de segurança na Internet, os fabricantes de produtos de infraestrutura da Internet, como firewalls, roteadores e outros dispositivos, precisam garantir que seus aparelhos sejam compatíveis com o DNSSEC. A operação adequada desses produtos impacta virtualmente em qualquer pessoa que se conecte a Internet, incluindo empresas, ISPs, usuários domésticos e outros clientes. Voltar ao topo

Como os desenvolvedores de software podem dar suporte ao DNSSEC? 
Os produtos de software que executam o DNS, assim como os aplicativos do usuário final, como navegadores e e-mails, são essenciais para o uso eficaz e inovador da Internet. Empresas de registro de domínio, ISPs e usuários finais precisam de soluções que incorporem recursos de DNSSEC nesse software. Através da criação de produtos sensíveis à DNSSEC e do desenvolvimento de ferramentas para simplificar o gerenciamento da DNSSEC, os desenvolvedores de software ajudarão na adoção global da DNSSEC.

As oportunidades para criar valor para os consumidores existem nos níveis de sistema operacional do servidor de DNS, sistema operacional cliente e aplicativos do usuário final. Por exemplo, empresas de registro de domínio, ISPs e serviços de hospedagem web precisam de soluções para simplificar a assinatura de zonas do DNSSEC e gerenciamento de chaves. Eles também precisam de uma maneira de indicar a validação de DNSSEC para usuários finais, talvez exibindo uma dica visual em navegadores da web. Voltar ao topo

O que é o Laboratório de Interoperabilidade de DNSSEC da Verisign? 
O Laboratório de Interoperabilidade de DNSSEC da Verisign permite que os membros da comunidade de TI testem a compatibilidade dos seus componentes de infraestrutura empresarial e da Internet com o DNSSEC.

Usando a instalação de testes, os fabricantes de hardware e os desenvolvedores de software podem determinar o impacto, caso existente, que o DNSSEC terá sobre as soluções e os serviços oferecidos. Voltar ao topo

Como os operadores de sites podem habilitar o DNSSEC? 
A DNSSEC baseia-se em uma hierarquia de confiança. As entidades nos níveis mais altos da hierarquia legitimam as entidades abaixo delas. Isso significa que a entidade que forneceu o nome do domínio para o operador do site (geralmente uma empresa de registro de domínios, um ISP ou um serviço de hospedagem de DNS) deve implementar o DNSSEC antes que o operador do site possa habilitá-lo.

Para habilitar o DNSSEC para o seu site, o operador do site deve assinar digitalmente as suas informações de nome de domínio. Na maioria dos casos, o operador simplesmente opta por esse processo ao registrar o nome do domínio. Se o operador já registrou o nome do domínio e optou por implementar o DNSSEC na sua zona, a sua empresa de registro, que faz uso do DNSSEC, provavelmente contará com um processo para modificar os registros da zona após o registro.

Algumas organizações podem ter que administrar partes do processo de DNSSEC internamente por razões de segurança e conformidade. Neste caso, o processo de habilitar o DNSSEC é mais complexo. Voltar ao topo

Qual o papel dos criadores de políticas no sucesso do DNSSEC? 
O DNSSEC é mais eficaz quando implementado universalmente, iniciando no topo da hierarquia da Internet (a zona raiz e os domínios de nível superior) e movendo-se para baixo em nomes de domínio individuais. De forma semelhante a outras campanhas internacionais, o DNSSEC requer a participação ativa e coordenada de várias organizações e países.

O tamanho, a complexidade e o impacto de um esforço global de DNSSEC sugerem que os criadores de políticas no governo e no setor público têm uma função vital no sucesso do DNSSEC. Trabalhando nos níveis nacional e internacional em telecomunicações, padrões técnicos, comércio, imposição da lei, e segurança e defesa nacionais, os criadores de políticas têm a visibilidade, influência e alcance para ter impacto positivo no momento e curso do DNSSEC. Voltar ao topo

PRECISA DE MAIS INFORMAÇÕES?

Avisos legais// Privacidade// Repositório// Fale conosco// Mapa do site


© 2011-2013 VeriSign, Inc. todos os direitos reservados.
VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciaisregistradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.