imgSubHeaderWhyVerisignAlt
Inovação + Iniciativas

Enquanto a Internet continua a expandir, mantemos nosso compromisso com a criação e o desenvolvimento de avanços que mantêm a Internet rápida, segura e confiável para todos os usuários.

ISPs

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) permitem que os provedores de serviços de Internet (ISPs) ofereçam valor agregado aos milhares de clientes que dependem de uma conexão com a Internet segura para trabalhar, estudar, jogar e interagir com outros usuários. A Verisign está comprometida a trabalhar com ISPs pra simplificar e padronizar as DNSSEC. Saiba o que as DNSSEC significam para você, o que você pode fazer para se preparar para as DNSSEC, e como as ferramentas, informações e os recursos da Verisign podem ajudá-lo a planejar, testar e habilitar as DNSSEC de forma efetiva.

Por que agir agora

A adoção do DNSSEC está ganhando velocidade. Devido à percepção cada vez maior das ameaças de DNS e à trajetória de outras iniciativas de segurança da Internet, como o Secure Sockets Layer, é provável que as DNSSEC tornem-se imperativas em ISPs, guiadas por requisitos internos como gerenciamento de riscos e demanda do consumidor por uma Internet mais segura.

Como os gerentes dos servidores recursivos de nomes que respondem a solicitações de resoluções de nomes, os ISPs têm um papel fundamental ao possibilitar uma camada extra de segurança para os usuários da Internet. Alguns ISPs grandes e algumas registradoress já contam com as DNSSEC em seus planos. Como a implementação da DNSSEC é um processo complexo, a Verisign recomenda uma abordagem cuidadosa e metódica. Os fornecedores de hardware precisam começar logo a fim de ter tempo para planejar, desenvolver, testar e aperfeiçoar seus produtos.

Agindo agora, os ISPs podem proteger melhor os seus clientes, reforçar sua reputação de liderança com respeito à proteção dos clientes e segurança na Internet, e se diferenciar da concorrência. Como pioneiras, elas também podem influenciar o desenvolvimento de produtos e serviços, bem como outras iniciativas do setor, que suportam e beneficiam seus negócios.

Benefícios das DNSSEC para provedores proativos
A DNSSEC é um ingrediente essencial na abordagem em camadas da segurança na Internet. Adicionando essa camada de forma proativa, é possível:

  • Ajudar a diminuir o risco de que seus clientes se tornem vítimas de crimes cibernéticos
  • Ajudar a proteger e construir sua marca e reputação
  • Manter a confiança e lealdade dos clientes.
  • Oferecer uma Internet mais segura como parte da sua proposta de valor para os clientes
  • Atrair e reter clientes com foco em segurança.
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer liderança e influência para moldar o futuro da DNSSEC.

O que fazer

Os ISPs desempenham um papel essencial no funcionamento da Internet e no sucesso das DNSSEC. Os servidores recursivos de nomes (resolvedores) gerenciados pelos ISPs ajudam os usuários da Internet a resolver rapidamente milhares de nomes de domínio por dia. Servidores recursivos de nomes também são o principal vetor para o envenenamento do cache.

Servidores recursivos de nomes que utilizam as DNSSEC podem ajudar a impedir o envenenamento do cache da seguinte forma: quando um servidor recursivo de nomes solicita informações de DNS de um servidor autoritativo de uma zona e a zona é assinada, o servidor recursivo de nomes também solicita a chave DNSSEC da zona para que ele possa verificar se a informação recebida é idêntica à informação do servidor autoritativo.

Para ajudar a propagar a DNSSEC por todo o ecossistema da Internet, os ISPs terão de permitir o uso da DNSSEC em seus servidores recursivos de nomes e assegurar a compatibilidade das suas infraestruturas de rede (por exemplo: firewalls, roteadores, switches e balanceadores de carga) com as respostas de DNS maiores, geradas pela DNSSEC. Com o tempo, você pode incorporar as DNSSEC nos seus ciclos de testes e implementação. Os ISPs que fornecem serviços de hospedagem de DNS também precisarão ativar a funcionalidade DNSSEC para esses serviços.

A maioria dos servidores recursivos de nomes disponíveis comercialmente já suportam DNSSEC e exigem somente uma atualização ou alteração de parâmetros. No entanto, as empresas de registros podem ter que atualizar ou substituir servidores de nomes antigos e dispositivos de rede existentes. Para determinar o impacto, caso existente, que a DNSSEC terá sobre os componentes da infraestrutura da empresa, essas empresas podem providenciar testes no Laboratório de Interoperabilidade de DNSSEC da Verisign.

O que levar em consideração

A Verisign está comprometida a ajudá-lo a identificar a melhor estratégia de implementação da DNSSEC para o seu caso.

A tabela a seguir apresenta recomendações para abordar algumas questões importantes associadas à implementação da DNSSEC.

Problema: versões antigas do software servidor de nomes não suportam a DNSSEC.
Explicação: o DNS tem sido uma plataforma muito resistente. Como resultado, a frequência de atualização dos softwares servidores de nomes por parte dos administradores é baixa. Alguns softwares servidores de nomes, incluindo versões antigas do BIND, não terão suporte às DNSSEC. Recomendação: analise seus servidores de nomes e atualize-os para uma versão que suporta o protocolo DNSSEC, assim como RSA-SHA256, NSEC e NSEC3.

Considere as seguintes versões compatíveis com o DNSSEC: BIND 9.6.2 e Unbound 1.4.0
Problema: os pacotes para o DNSSEC são maiores (> 512 bytes) do que os pacotes tradicionais de DNS.
Explicação: os pacotes DNSSEC são maiores que os pacotes tradicionais e contêm informações diferentes. Softwares servidores de nomes compatíveis com DNSSEC podem aumentar o uso de recursos por parte dos servidor. Pacotes maiores, por exemplo, aumentarão os requisitos de capacidade da CPU, da memória do servidor e da largura de banda para o funcionamento do ISP. Recomendação: analise o hardware em que seus servidores de nomes são executados para garantir que os servidores estão preparados para aumento de carga.
Problema: servidores recursivos de nomes requerem que a validação esteja “ligado”.
Explicação: para fornecer a funcionalidade DNSSEC aos seus clientes, você deve ativar a validação DNSSEC nos servidores recursivos de nomes. Recomendação: avalie e decida por ligar ou não a validação. A seguir, crie e mantenha servidor recursivo de nomes de validação sensível às DNSSEC.
Problema: a DNSSEC aumentará as responsabilidades de gerenciamento de DNS para os administradores de sistema.
Explicação: os administradores de sistema responsáveis pelas operações de DNS precisarão realizar manutenções periódicas de confiança e atualizar a chave pública (utilizada para autenticação DNSSEC) quando os operadores da zona raiz passarem a utilizar novos pares de chaves públicas/privadas para as assinaturas digitais. Recomendação: certifique-se de que os administradores de sistema que gerenciam as suas operações de DNS têm bons conhecimentos do conceitos de DNSSEC e manutenção de âncora de confiança. Proporcione treinamentos técnicos e aumente a familiaridade com as ferramentas disponíveis.
Problema: os usuários finais encontrarão falhas de validação DNSSEC.
Explicação: uma preocupação significante para ISPs e a comunidade da Internet, é a experiência do usuário final quando dados DNS fraudulentos são detectados ou a resolução de nomes falha porque as assinaturas digitais utilizadas para autenticar o DNS expiraram. Recomendação: eduque e treine sua equipe de atendimento ao cliente para que eles saibam como diagnosticar e explicar tais falhas à sua base de usuários. Colabore com a Verisign, bem como com outros ISPs participantes do ecossistema da Internet para encontrar uma solução padronizada para esse problema.

Onde começar

Você pode tomar providências cadenciadas para alcançar seu objetivo de um sistema com DNSSEC que ajude a manter a confiança dos usuários finais e forneça uma vantagem competitiva. Com base nas lições aprendidas através do trabalho com registradoress e ISPs, assim como através do trabalho para implementar as DNSSEC na zonas raízes .edu, .net e .com, sugerimos os seguintes passos para começar.

Explorar e educar

  • Entenda como a DNSSEC se encaixa na sua estratégia de segurança cibernética.
  • Conheça os benefícios e desafios da implementação das DNSSEC.
  • Entenda a criptografia de chaves públicas, os padrões de criptografia e como as assinaturas digitais e as chaves públicas/privadas funcionam em conjunto.
  • Garanta que sua equipe de TI e de suporte ao cliente receba treinamento para tratar de questões relacionadas ao DNSSEC.
  • Aproveitar os recursos da Verisign e planejar estratégias para informar clientes sobre a DNSSEC.

Planejamento

  • Estabeleça um cronograma para a adoção das DNSSEC.
  • Decida como você integrará as DNSSEC na sua arquitetura de DNS existente.
  • Crie políticas e processos para sistematizar a integração de atualizações de chaves públicas de registradoress ou outras âncoras de confiança.

Avaliar e atualizar

  • Faça um inventário e revise sua infraestrutura. Por exemplo: observe qual a versão do BIND ou Unbound está sendo executada e determine se os servidores de nomes suportam os protocolos NSEC3 e SHA-256.
  • Determine qual será o impacto, caso existente, que a DNSSEC terá na largura de banda da rede (os pacotes maiores da DNSSEC aumentam o tráfego de rede).
  • Considere como a DNSSEC afetará o gerenciamento dos servidores recursivos de nomes.
  • Pergunte a seus fornecedores de hardware onde a DNSSEC se encaixa em seus planos e se há atualizações disponíveis para seus atuais dispositivos de rede.
  • Avalie produtos e serviços que suportam sua implementação.
  • Atualize o hardware de DNS e o software do servidor de nomes, conforme necessário, para que eles sejam compatíveis com DNSSEC.

Participe

  • Use o Laboratório de Interoperabilidade de DNSSEC da Verisign para testar a compatibilidade dos seus dispositivos de rede com a DNSSEC.
  • Trabalhe com consórcios do setor, entidades de padrões e fornecedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.
  • Colabore e crie estratégias voltadas para a experiência do usuário final quando a DNSSEC detecta dados “ruins”.

Precisa de mais informações?

Telefone +1-703-925-6999
E-mail ou Bate-papo Envie um e-mail para o Suporte ao cliente.

Avisos legais//Privacidade//Repositório//Fale conosco//Feedback//Mapa do site


© 2011-2012 VeriSign, Inc. todos os direitos reservados.
VERISIGN, a logomarca VERISIGN, e outras marcas registradas, marcas de serviço e arte são registradas ou canceladas por VeriSign Inc. e suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas registradas são propriedade de seus respectivos donos.