Enquanto a Internet continua a expandir, mantemos nosso compromisso com a criação e o desenvolvimento de avanços que mantêm a Internet rápida, segura e confiável para todos os usuários.
Revendedores de hardware
Conforme as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são cada vez mais utilizadas, cresce também a demanda por hardware e dispositivos de Internet compatível com elas. A Verisign está comprometida a trabalhar em conjunto com os fornecedores de hardware para ajudar na determinação e na solução dos riscos de compatibilidade. Descubra o que a DNSSEC significa para você, o que você pode fazer para apoiar o sucesso da DNSSEC e como o Laboratório de Interoperabilidade de DNSSEC da Verisign pode ajudá-lo a compreender o comportamento do seu equipamento em um ambiente que usa DNSSEC.
Por que agir agora
Conforme cresce a adoção da DNSSEC, as registradoress, os provedores de serviços de Internet e os usuários finais necessitam cada vez mais de equipamentos de rede e outros dispositivos que oferecem suporte e são compatíveis com um ambiente em que a DNSSEC é utilizada.
De forma conjunta, essas entidades representam uma oportunidade de mercado significativa para os fabricantes de hardware que se movem rapidamente para atender a essa necessidade. Eles também destacam os potenciais riscos de negócios se os vendedores podem ter caso seus aparelhos não sejam compatíveis com a DNSSEC. De uma perspectiva mais ampla, esses riscos e oportunidades enfatizam o papel fundamental que os fornecedores de hardware tem na implantação e adoção da DNSSEC.
A DNSSEC pode criar uma série de problemas de compatibilidade em equipamentos de rede que suportam DNS. O planejamento estratégico, o desenvolvimento e a fabricação dos ciclos que tratam dessas questões pode levar meses, senão anos. Os fornecedores de hardware precisam começar logo a fim de ter tempo para planejar, desenvolver, testar e aperfeiçoar seus produtos.
Agindo agora, os fabricantes de hardware podem reforçar sua reputação de liderança e inovação em segurança na Internet, se diferenciar dos concorrentes, e obter antecipadamente uma posição segura no mercado de dispositivos compatíveis com DNSSEC. Como pioneiros na adoção, eles também podem influenciar no desenvolvimento de padrões técnicos que suportam e beneficiam seus negócios.
Benefícios da DNSSEC para fornecedores de hardware proativos
A DNSSEC é um ingrediente essencial na abordagem em camadas da segurança na Internet. Ao mover-se rapidamente para dar suporte ao sucesso global da DNSSEC, você poderá:
- Introduzir atualizações e novos produtos que sejam compatíveis com o DNSSEC.
- Ajudar a construir sua marca e reputação.
- Manter a confiança e lealdade dos clientes.
- Atrair e reter clientes com foco em segurança.
- Aumentar a segurança na Internet para clientes.
- Proteger seu negócio principal melhorando a confiança na Internet.
- Exercer liderança e influência para moldar o futuro da DNSSEC.
1 Nominet and Core Competence, Relatório de Teste: DNSSEC Impact on Broadband Routers and Firewalls (O impacto da DNSSEC em Firewalls e Roteadores de Banda Larga), Setembro de 2008.
O que é necessário
O DNSSEC introduz alterações complexas em todo o ecossistema da Internet. Para garantir que os usuários da Internet se beneficiem dessa camada adicional de segurança na Internet, os fabricantes de produtos de infraestrutura da Internet, como firewalls, roteadores e outros dispositivos, precisam garantir que seus aparelhos sejam compatíveis com a DNSSEC. A operação adequada desses produtos impacta virtualmente em qualquer pessoa que se conecte a Internet, incluindo empresas, ISPs, usuários domésticos e outros clientes.
Nós o convidamos a testar o seu equipamento no nosso Laboratório de Interoperabilidade de DNSSEC. O laboratório é gratuito e vai lhe dar uma visão rápida, mas abrangente, de como o seu equipamento irá interagir em um ambiente que usa DNSSEC.
Considerações sobre compatibilidade
A DNSSEC potencialmente tem impacto em qualquer dispositivo que analisa o tráfego da Internet nas camadas 3 a 7 da pilha do protocolo de Interconexão de Sistemas Abertos (OSI). Questões de compatibilidade poderão surgir do hardware em si ou da forma como os usuários o configuraram. A pesquisa sugerem que a maioria dos roteadores usados em escritórios domésticos/de pequeno porte (com resolvedores stub) parecem funcionar adequadamente em um ambiente que usa DNSSEC. Firewalls de classe empresarial (com servidores recursivos) apresentam o maior desafio.
A Verisign está comprometida a ajudá-lo a identificar problemas de compatibilidade em seus produtos e soluções. A tabela a seguir oferece recomendações para abordar alguns aspectos importantes relacionados com a compatibilidade DNSSEC.
| Problema: os pacotes para o DNSSEC são maiores (> 512 bytes) do que os pacotes tradicionais de DNS. | |
|---|---|
| Explicação: historicamente, as mensagens de DNS eram carregadas pelo Protocolo de Datagrama do Usuário (UDP), e os padrões originais de DNS restringiam o tamanho do pacote a 512 bytes. Os pacotes DNSSEC pode conter chaves públicas e assinaturas digitais. Como resultado, os pacotes DNSSEC são frequentemente maiores do que 512 bytes. Muitos dispositivos de rede antigos e alguns atuais podem largar os pacotes maiores da DNSSEC | Recomendação: esteja ciente das limitações de equipamentos relacionadas ao processamento de pacotes DNSSEC. |
| Problema: a DNSSEC (ativação) vai gerar mais tráfego TCP. | |
| Explicação: devido às limitações na unidade de transmissão máxima (MTU), o protocolo UDP nem sempre pode acomodar o tamanho dos pacotes DNSSEC. Como resultado, as consultas e respostas voltam a utilizar o TCP, o que provoca mais tráfego e sobrecarrega ainda mais os dispositivos de rede. Além disso, alguns dispositivos não estão configurados para permitir pacotes de DNS via TCP; ou, em certos casos, os dispositivos podem não suportar DNS via TCP. | Recomendação: certifique-se de que o seu equipamento suporta e está configurado para TCP. |
| Problema: a DNSSEC (ativação) requer suporte para EDNS0. | |
| Explicação: os mecanismos de extensão para DNS (EDNS) são um conjunto de extensões de DNS publicado pela primeira vez em 1999. O tráfego DNSSEC depende dessas extensões para a sinalização adicional e o suporte aos pacotes de DNS em UDP maiores que 512 bytes. Alguns dispositivos de rede podem não ser capazes de processar pacotes de DNS com EDNS0. | Recomendação: certifique-se de que o seu equipamento suporta pacotes de DNS com EDNS0. |
Onde começar
Verisign quer ajudá-lo com a compatibilidade de dispositivos para DNSSEC. Considere as seguintes etapas para iniciar. E não se esqueça de levar suas soluções ao nosso Laboratório de Interoperabilidade de DNSSEC para testar a compatibilidade dos dispositivos de rede em um ambiente que usa DNSSEC. O laboratório é gratuito.
Avaliar e planejar
- Reveja seus produtos já existentes para entender suas limitações com relação à DNSSEC e identificar as configurações padrão de fábrica.
- Entender como o DNSSEC encaixa-se em sua estratégia de desenvolvimento de produtos.
- Estabelecer um roteiro para desenvolver produtos, atualizações e melhorias que suportem o DNSSEC.
Testar
Use o Laboratório de Interoperabilidade de DNSSEC da Verisign para testar a compatibilidade dos seus dispositivos de rede com a DNSSEC.
Explorar e educar
- Entenda os benefícios e desafios que os seus clientes vão experimentar ao implementar a DNSSEC.
- Planeje estratégias para informar os clientes a respeito da compatibilidade com DNSSEC dos seus produtos.
- Garanta que sua equipe de TI e de suporte ao cliente receba treinamento para tratar de questões relacionadas ao DNSSEC.
- Trabalhe com consórcios do setor, entidades de padrões e outros revendedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.