imgSubHeaderWhyVerisignAlt
Inovação + Iniciativas

Enquanto a Internet continua a expandir, mantemos nosso compromisso com a criação e o desenvolvimento de avanços que mantêm a Internet rápida, segura e confiável para todos os usuários.

Visão geral da DNSSEC

Por que DNSSEC? Como funciona Pilares do sucesso História da DNSSEC

O Sistema de Nome de Domínio (DNS), que é o sistema de endereçamento da Internet, é o componente mais importante da infraestrutura da Internet. Sem ele, a Internet não funcionaria. No entanto, ele não foi projetado com a segurança em mente. Como resultado, ele é vulnerável a ataques man-in-the-middle (MITM) e envenenamentos de cache. Essas ameaças usar dados falsos para redirecionar o tráfego da Internet para sites fraudulentos e endereços indesejados. Saiba mais sobre o DNS e sobre porque ele é vulnerável.

Quando um usuário desavisado ou dispositivo chega a um site fraudulento, os criminosos da Internet podem potencialmente extrair dados de cartão de crédito, roubar de senhas, escutar chamadas VoIP, instalar softwares maliciosos, exibir imagens e textos que difamam marcas legítimas ou fornecer informações enganosas. Uma vez que um único servidor de nomes DNS pode atuar como o ponto de resolução de nome para endereço para milhares de usuários, o impacto potencial de um ataque MITM ou envenenamento de cache é muito alto.

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) adicionam segurança ao DNS. Elas foram projetadas para lidar com ataques MITM e envenenamentos de cache através da autenticação da origem dos dados DNS e da verificação da sua integridade enquanto trafegam pela Internet.

Benefícios da DNSSEC para Usuários Finais

A DNSSEC apresenta oportunidades a todos os membros do ecossistema da Internet. Seu impacto mais direto e generalizado é sobre os usuários finais.

Atividades confiáveis: ao reforçar a segurança do DNS, a DNSSEC aumenta a confiança para uma infinidade de atividades na Internet, incluindo comércio e atividades bancárias online, e-mail, VoIP e distribuição de software online. Quando mais ampla for sua implementação, maiores serão os benefícios da DNSSEC para a comunidade global da Internet.

Proteção de clientes e de marcas: a DNSSEC minimiza o risco dos clientes serem vítimas de crimes cibernéticos quando eles tentam acessar um recurso. É vital para as organizações com forte presença online, operações de comércio online e marcas de alto valor.

Novos tipos de transações seguras: a DNSSEC abre as portas para utilizar o sistema de DNS para novos tipos de transações de dados seguras (por exemplo: autenticação de origem de e-mail) através da anulação de ataques que podem fazer com que os dados caiam em mãos erradas. A DNSSEC complementa (não substitui) outros recursos de segurança online como o Secure Sockets Layer (SSL) e a mitigação dos ataques distribuídos de negação de serviço (DDoS).

A Força de Tarefa de Engenharia na Internet (IETF) tem trabalhado por mais de 15 anos para desenvolver um padrão funcional para as extensões de segurança do sistema de nome de domínio (DNSSEC). A DNSSEC protege a comunidade da Internet contra dados falsos de DNS usando criptografia de chave pública para assinar digitalmente os dados da zona autoritativa quando eles entram no sistema e então validar os dados e seu destino. Saiba mais sobre a criptografia de chave pública.

A assinatura digital garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. As DNSSEC também podem provar que um nome de domínio não existe. Esses recursos são essenciais para manter a confiança na Internet.

No DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto que a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados de DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

A DNSSEC usa um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. Zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores autoritativo de nomes para essas zonas podem ser gerenciados por empresas de nomes de domínio, ISPs, empresas de hospedagem ou pelos próprios operadores dos sites.

Quando um usuário final quer acessar um site, um stub no sistema operacional do usuário solicita o endereço IP do site a um servidor recursivo de nomes. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor autoritativo de nomes.

Se o servidor recursivo de nomes determinar que o registro de endereço foi enviado pelo servidor autoritativo de nomes e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. As DNSSEC também podem provar que um nome de domínio não existe. Como resultado desse processo, consultas e respostas de DNS são protegidas contra ataques man-in-the-middle (MITM) e dos tipos de falsificações que poderiam redirecionar os usuários da Internet para sites falsos.

Para garantir o sucesso global do DNSSEC, a Verisign defende uma abordagem proativa, mas cautelosa, que gira em torno de três princípios fundamentais:

  • DNSSEC é uma boa solução para uma vulnerabilidade específica da Internet, mas deve ser complementada por outras camadas de segurança.
  • Uma implantação controlada e metódica do DNSSEC é o mais seguro.
  • Todo o ecossistema da Internet divide a responsabilidade pelas DNSSEC.

Uma boa solução para uma vulnerabilidade específica

Embora as DNSSEC aumentem a segurança do DNS, elas são apenas um componente da abordagem em camadas para a segurança da infraestrutura da Internet. Elas não protegem contra ataques distribuídos de negação de serviço (DDoS), não garantem a confidencialidade de trocas de dados, não criptografam dados de sites ou impede o uso de IPs falsos ou roubo de IP. Outras camadas de proteção, como mitigação de DDoS, inteligência da segurança, validação de sites e criptografia com Secure Sockets Layer (SSL), bem como autenticação com dois fatores, também são muito importantes para tornar a Internet mais segura. Esses mecanismos deverão ser usados em conjunto com as DNSSEC.

Implantação controlada e metódica

A ampla implementação das DNSSEC introduz um conjunto de mudanças complexas que afetam todo o ecossistema da Internet e exigem muitos recursos, documentação, testes e coordenação da indústria. Qualquer implantação das DNSSEC deve ser feita em fases, especialmente para a operação segura dos mais importantes domínios globais de nível superior (TLDs), tais como .com e .net. Estratégia de longo prazo, planejamento e colaboração, não somente dentro e entre organizações e indústrias, mas também internacionalmente, criam uma base sólida para a implantação bem-sucedida.

Responsabilidade Compartilhada

Uma vez que o envenenamento do cache pode ocorrer em qualquer ponto da Internet, as DNSSEC são mais eficazes quando aplicadas universalmente, iniciando na zona raiz e nos domínios de nível superior (TLDs) e movendo-se para os nomes de domínio individuais. Empresas e solicitantes de registros, empresas de hospedagem, desenvolvedores de software, fornecedores de hardware, entidades governamentais, empresas e agências com presença na Internet, bem como coligações e tecnólogos da Internet, são todos responsáveis pelo sucesso desse grande esforço.

A adoção das DNSSEC está ganhando velocidade à medida que governos, instituições financeiras, provedores de serviços de Internet (ISPs), empresas e outras organizações se tornam cada vez mais cientes das ameaças relacionadas ao DNS.

A zona raiz da Internet, os domínios de nível superior (TLDs), tais como .net, .com, .gov, .org, .museum e .edu, assim como grande número de TLDs com código de país (ccTLD), concluíram ou estão em vias de conclusão da implantação completa das DNSSEC. Estes TLDs começarão a aceitar em breve nomes de domínio de segundo nível assinados por DNSSEC. Certos provedores de serviços de Internet anunciaram a intenção de ativar a validação nos servidores recursivos de nomes que respondem perguntas dos usuários, e algumas registradoress incluíram a implementação das DNSSEC em seus planejamentos. Além disso, espera-se que a ICANN abra inscrições para novos TLDs dentro de um futuro próximo, e é provável que a ICANN exija que os inscritos para novos TLDs tenham planos para a implementação das DNSSEC para serem aprovados.

História da Segurança do DNS

O papel da Verisign

A Verisign está envolvida no desenvolvimento das DNSSEC desde 2000, e os nossos engenheiros desempenharam um papel essencial no desenvolvimento do protocolo NSEC3. Nós continuaremos a colaborar com a comunidade técnica da Internet conforme os testes, implementação e adoção das DNSSEC avançam. Para garantir que estamos utilizando as melhores práticas e compartilhar o que aprendemos em nossas implementações das DNSSEC, bem como para apoiar uma abordagem consistente das DNSSEC por parte das empresas de registros, nós somos um membro ativo da Coalizão DNSSEC, uma organização da indústria dedicada a facilitar a adoção das DNSSEC.

Em julho de 2010, a Verisign, trabalhando com a Internet Assigned Numbers Authority (IANA) e o Departamento de Comércio (DoC), concluiu a implementação da DNSSEC na zona raiz (o ponto inicial da hierarquia do DNS). A Verisign também ativou o domínio .edu em julho em colaboração com a EDUCAUSE e o DoC, e está a caminho de ativar a DNSSEC nos domínios .net e .com. Além disso, vários domínios de nível superior (TLDs) foram assinados por outros registros, incluindo .gov, .org e nomes de TLD com código de país para Brasil, Bulgária, República Checa, Porto Rico e Suécia.

Nossa estratégia de implementação das DNSSEC é começar com as zonas menores primeiro e avaliar cada implantação de acordo com as lições aprendidas antes de passar para a próxima zona. A zona .com será a última a ser assinada. Queremos obter o máximo possível de experiência antes de lidar com o domínio responsável por grande parte do comércio e das comunicações via Internet.

Estamos trabalhando de maneira oportuna, mas cautelosa e metódica, para assinar as zonas que gerenciamos. Você, seus clientes, funcionários e parceiros vivenciarão a mesma Internet com a qual já estão acostumados, mas com mais segurança.

Nós também tomamos várias medidas para ajudar os membros do ecossistema da Internet a aproveitar as DNSSEC. Essas etapas incluem a publicação de recursos técnicos, o fornecimento de um Ambiente de Teste Operacional e um Laboratório de Interoperabilidade de DNSSEC, a condução de sessões educacionais, a participação em fóruns do setor e o desenvolvimento de ferramentas para simplificar o gerenciamento das DNSSEC.

Precisa de mais informações?

Telefone +1-703-925-6999
E-mail ou Bate-papo Envie um e-mail para o Suporte ao cliente.

Avisos legais//Privacidade//Repositório//Fale conosco//Feedback//Mapa do site


© 2011-2012 VeriSign, Inc. todos os direitos reservados.
VERISIGN, a logomarca VERISIGN, e outras marcas registradas, marcas de serviço e arte são registradas ou canceladas por VeriSign Inc. e suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas registradas são propriedade de seus respectivos donos.