COMO FUNCIONA O DNSSEC

A Força-Tarefa de Engenharia na Internet (IETF) tem trabalhado por mais de 15 anos para desenvolver um padrão funcional para as extensões de segurança do sistema de nome de domínio (DNSSEC). O DNSSEC protege a comunidade da Internet contra dados falsos de DNS, usando criptografia de chave pública para assinar digitalmente os dados da zona autorizada quando eles entram no sistema e então validar os dados e seu destino. Saiba mais sobre a criptografia de chave pública.


A assinatura digital garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. O DNSSEC também pode provar que um nome de domínio não existe. Esses recursos são essenciais para manter a confiança na Internet.

No DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados de DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

O DNSSEC usa um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filho. Zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores autorizados de nomes para essas inúmeras zonas podem ser gerenciados por empresas de registro de domínios, provedores de serviços de Internet (ISPs), empresas de hospedagem ou pelos próprios operadores dos sites (solicitantes de registro).

Quando um usuário final quer acessar um site, um solucionador simples no computador do usuário solicita o endereço IP do site a partir de um servidor de nomes recursivo. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor autorizado de nomes.

Se o servidor recursivo de nomes determinar que o registro de endereço foi enviado pelo servidor autorizado de nomes e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. O DNSSEC também pode provar que um nome de domínio não existe. Como resultado desse processo, consultas e respostas de DNS são protegidas contra ataques man-in-the-middle (MITM) e dos tipos de falsificações que poderiam redirecionar os usuários da Internet para sites falsos.

PRECISA DE MAIS INFORMAÇÕES?