DNSSEC para distribuidores autorizados de domínios

O DNSSEC provavelmente é um imperativo dos negócios dos distribuidores autorizados de domínios, orientado pelas necessidades internas como gerenciamento de riscos e demanda dos clientes para uma experiência de Internet mais segura.

O protocolo Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) apresenta novas oportunidades e novos desafios para os distribuidores autorizados de domínio. A Verisign está comprometida em trabalhar com seus distribuidores autorizados de domínios afiliados para tornar o DNSSEC o mais simples e valioso possível. Saiba o que o DNSSEC significa para você, o que você pode fazer para se preparar para o DNSSEC, e como as ferramentas, informações e os recursos da Verisign podem ajudá-lo a planejar, testar e implementar o DNSSEC de forma efetiva.

Por que agir agora O que fazer Onde começar Ferramentas

Os distribuidores autorizados de domínios têm um papal muito importante para o sucesso do DNSSEC. Alguns provedores de serviços de Internet (ISPs) e distribuidores autorizados de domínios .net/.com já estão implantando o DNSSEC. Como a implementação do DNSSEC é um processo complexo, a Verisign recomenda uma abordagem cuidadosa e metódica. Os fornecedores de hardware precisam começar logo a fim de ter tempo para planejar, desenvolver, testar e aperfeiçoar seus produtos.

Ao agir agora, você pode se estabelecer como um líder e distribuidor autorizado de domínios de segurança consciente, se diferenciar dos concorrentes e obter uma vantagem inicial sobre novas oportunidades de receita. Você também pode ser capaz de influenciar o desenvolvimento de produtos e serviços, além de outras iniciativas do setor, que apóiem e beneficiem a sua empresa.

Benefícios para distribuidores autorizados de domínios proativos

Adicionando essa camada de forma proativa, é possível:

  • Ajudar a proteger os clientes e a marca dos usuários finais que registram domínios.
  • Manter a confiança e lealdade dos clientes.
  • Atrair e reter clientes com foco em segurança e reputação.
  • Criar novas ofertas de serviços, tais como zonas de assinatura para os clientes.
  • Abrir as portas para usar o DNS para novos tipos de transações de dados seguras (por exemplo: publicação de outros tipos de chaves públicas e autenticação da origem de e-mails).
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer liderança e influência para moldar o futuro do DNSSEC.

O DNSSEC introduz mudanças complexas, que afetam todas as partes envolvidas na cadeia de resolução e consulta do DNS, especialmente os distribuidores autorizados de domínios e outras entidades de hospedagem que administram servidores autorizados de nomes e prestam serviços de gerenciamento essenciais para os clientes. Fornecemos ferramentas e trabalharemos com você para garantir que a sua implementação do DNSSEC seja bem-sucedida.

Para desenvolver os novos serviços que os inscritos deverão exigir depois que o DNSSEC for implantado, você terá que assinar os nomes de domínio dos inscritos. Habilitar o DNSSEC para um registrante envolve:

  • Criar pares de chaves privadas/públicas para o nome de domínio.
  • Criar e assinar a zona.
  • Gerenciar os pares de chaves.

Esses processos garantem que os resolvedores com o DNSSEC ativa dentro do ecossistema da Internet possam verificar a autenticidade das respostas recebidas da zona.

Também será necessário alterar a interface para os seus clientes, para que ela aceite dados da chave DNSSEC, e alterar a interface do Protocolo de Provisionamento Extensível (EPP) para transmitir dados da chave DNSSEC para os registros com os quais você interage.

Assinar a zona
As seguintes tarefas estão associadas à criação e assinatura de uma zona:

  • Estabelecer chaves ZSK, que assinam os registros da zona
  • Estabelecer as chaves KSK, que assinam os registros chave na zona e ajudar a construir a hierarquia de confiança
  • Gerar uma zona não assinada
  • Assinar a zona
  • Testar o sistema de assinatura em um ambiente de teste offline
  • Introduzir assinatura aos poucos, por exemplo, usando-a primeiramente em redes internas, para garantir que tudo continua a funcionar corretamente

O DNSSEC de gerenciamento de chaves contínuo
requer que você altere as chaves privadas regularmente para minimizar o risco que um ator mal intencionado obtenha sua chave. Uma sobreposição de chave envolve a alteração do par de chaves de uma zona e a reassinatura da zona com a nova chave privada. Se uma chave KSK é sobreposta, será necessário atualizar o registro com as informações da nova chave pública (registros do signatário da delegação).

As seguintes tarefas estão associadas com o gerenciamento de chaves:

  • Lidar com sobreposições de chaves (regulares e de emergência) ZSK e KSK
  • Realizar a reassinatura regular e programada de registros de recursos relacionados à segurança
  • Atualizar a zona pai com os registros do signatário da delegação (DS records) com base nas chaves KSK

Considerações adicionais
A hospedagem de uma zona assinada requer a implementação de servidores de nomes compatíveis com DNSSEC. O gerenciamento das chaves requer hardware e software de DNSSEC especializados. A implementação e o gerenciamento destes componentes representam um processo complexo e demorado. Você tem várias opções: desenvolver uma solução de DNSSEC in-house, comprar produtos de DNS com DNSSEC habilitado padrões, ou trabalhar com um fornecedor de serviços gerenciados de qualidade, que faça a assinatura e o gerenciamento das chaves DNSSEC.

Para soluções padrões ou in-house, será necessário planejar e programar cuidadosamente a integração dos novos dispositivos no seu sistema. Você também deverá testar a implementação dos dispositivos fora do ambiente de produção para garantir que os dispositivos funcionam corretamente quando o DNSSEC está habilitado. O Ambiente de Teste Operacional (OTE) da Verisign está disponível gratuitamente para fazer esses testes para as empresas de registros de domínios .com e .net.

Você também deve inspecionar se os seus dispositivos de rede antigos e atuais podem suportar o DNSSEC. Por exemplo: eles podem lidar com os pacotes DNSSEC, que podem ser maiores do que os pacotes tradicionais de DNS? Eles suportam o Protocolo de Controle de Transmissão (TCP) e os mecanismos de extensão para os pacotes de DNS?

As empresas de registro de domínios podem tomar medidas progressivas para alcançar o objetivo de um sistema com DNSSEC habilitada, o que ajuda a manter a confiança de clientes e usuários finais, oferece novas oportunidades de receita e fornece uma vantagem competitiva. Com base em insights de especialistas do setor e nas lições aprendidas através da implementação do DNSSEC nas zonas raízes .edu, .net e .com, sugerimos as seguintes etapas para começar.

Explorar e educar

  • Entenda como o DNSSEC se encaixa na sua estratégia de segurança cibernética.
  • Conheça os benefícios e desafios da implementação do DNSSEC.
  • Entenda a criptografia de chaves públicas, os padrões de criptografia e como as assinaturas digitais e as chaves públicas/privadas funcionam em conjunto.
  • Garanta que suas equipes de TI e de atendimento ao cliente recebam treinamento adequado.
  • Programe estratégias para educar os clientes sobre o DNSSEC.

Planejamento

  • Estabeleça um cronograma para a adoção do DNSSEC.
  • Decida como você integrará o DNSSEC na sua arquitetura de DNS existente.
  • Considere as opções de implementação: desenvolvimento in-house, produtos padrões de DNS com DNSSEC habilitada ou serviços gerenciados.

Avaliar e atualizar

  • Determinar qual o impacto do DNSSEC na largura de banda da rede. (o DNSSEC aumenta o tráfego de rede)
  • Considere como o DNSSEC afeta o gerenciamento de DNS.
  • Revise e atualize a segurança e as políticas de gerenciamento de chaves para incluir agendamentos para a sobreposição das chaves, refletir a respeito dos novos papéis e responsabilidades que o DNSSEC introduz e preparar-se para o armazenamento seguro de chaves.
  • Certifique-se de que sua rede esteja configurada corretamente; certifique-se de que as definições de zonas estejam precisas e completas.
  • Pergunte a seus fornecedores de hardware onde o DNSSEC se encaixa em seus planos e se há atualizações disponíveis para seus atuais dispositivos de rede.
  • Atualize o hardware de DNS e o software do servidor de nomes, conforme necessário, para que eles sejam compatíveis com DNSSEC.
  • Avalie produtos e serviços que suportam sua implementação.

Participe

  • Inscreva-se no Fórum de Empresas de Registro de Domínios da Verisign.
  • Use o Ambiente de Teste Operacional (OTE) da Verisign, que permite que você teste a sua implementação DNSSEC.
  • Trabalhe com consórcios do setor, entidades de padrões e fornecedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.

A Verisign está comprometida em baixar os custos da sua implementação de DNSSEC e ajudá-lo a identificar a melhor estratégia de implementação do DNSSEC para sua situação. A Verisign oferece as seguintes ferramentas e serviços para facilitar a implementação do DNSSEC para a comunidade de empresas de registro de domínios:

  • Ajudar a proteger os clientes e a marca dos usuários finais que registram domínios.
  • Manter a confiança e lealdade dos clientes.
  • Atrair e reter clientes com foco em segurança e reputação.
  • Criar novas ofertas de serviços, tais como zonas de assinatura para os clientes.
  • Abrir as portas para usar o DNS para novos tipos de transações de dados seguras (por exemplo: publicação de outros tipos de chaves públicas e autenticação da origem de e-mails).
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer liderança e influência para moldar o futuro do DNSSEC.

A Verisign está comprometida em baixar os custos da sua implementação de DNSSEC e ajudá-lo a identificar a melhor estratégia de implementação do DNSSEC para sua situação. A Verisign oferece as seguintes ferramentas e serviços para facilitar a implementação do DNSSEC para a comunidade de empresas de registro de domínios:

Find out if your website is DNSSEC enabled]]>

Você pode usar o Ambiente de Teste Operacional de ponta a ponta da Verisign para testar a sua implementação técnica do DNSSEC bem antes da ativação prevista do DNSSEC para os domínios .net e .com.

O OTE é uma reprodução das plataformas de registro para os domínios .com e .net que você implementará na produção. O ambiente de ponta a ponta permite que você envie, registre e resolva nomes com registros do signatário da delegação (DS records) para ambos os domínios .net e .com. Também é possível utilizar o OTE para testar a integração de aplicativos front-end voltados ao cliente e as capacidades de assinatura de chaves.

O OTE inclui os seguintes componentes:

  • Registro back-end: uma réplica de um registro back-end, que pode aceitar nomes de domínios de teste e dados de registros do signatário da delegação de teste através de uma interface EPP de registro operacional e uma interface de usuário da Web; essa réplica do sistema de registro providencia atualizações dos arquivos de zona para testar os servidores de nomes.

  • Registro back-end: uma réplica de um registro back-end, que pode aceitar nomes de domínios de teste e dados de registros do signatário da delegação de teste através de uma interface EPP de registro operacional e uma interface de usuário da Web; essa réplica do sistema de registro providencia atualizações dos arquivos de zona para testar os servidores de nomes.

O Fórum Técnico de DNSSEC On-line permite que sua equipe técnica compartilhe as melhores práticas e participe de discussões abertas sobre DNSSEC com colegas e engenheiros da Verisign. Sua equipe também pode receber suporte à implementação, orientação para assinatura e gerenciamento de chaves, atualizações sobre notícias e desenvolvimento do DNSSEC, o Guia das Ferramentas do DNSSEC, e muito mais. Essa valiosa ferramenta de colaboração é privada e segura.

Inscreva-se no Fórum Técnico de DNSSEC On-line. (Acesso sujeito às credenciais NameStore e a restrições de acesso.) Não consegue acessar? Fale conosco.

O Guia das Ferramentas de DNSSEC está disponível através do Fórum Técnico de DNSSEC Online (veja acima). Ele inclui uma análise das ferramentas de código aberto e das soluções disponíveis com base no mercado, uma matriz de comparação de ferramentas, orientações para o gerenciamento de chaves, uma ferramenta de chaves de zona e ferramentas de DNSSEC.

Acesse o Tool Guide Series on DNSSEC (PDF).

O kit de desenvolvimento de software (SDK) de DNSSEC da Verisign permite que você integre mais facilmente os seus servidores de nomes com os sistemas de DNSSEC da Verisign. Você também pode usar as nossas ferramentas SDK EPP para testar ou validar comandos EPP sem construir um programa.

Acesse o EPP SDK.

Os campos de treinamento técnicos são sessões de treinamento, que tomam dias inteiros, com os principais engenheiros de desenvolvimento de DNSSEC da Verisign. Os engenheiros discutem o que estamos desenvolvendo, qual a aparência da interface EPP e os requisitos de DNSSEC para as empresas de registro de domínios.

Saiba mais sobre os Campos de Treinamento Técnico de DNSSEC.

O DNSSEC Analyzer é uma ferramenta baseada na web para garantir que a "corrente de confiança" esteja intacta para um determinado nome de domínio habilitado para DNSSEC. A ferramenta mostra uma validação passo a passo de um determinado nome de domínio e destaca os problemas encontrados.

Descubra se o seu site está habilitado para o DNSSEC

ler maisler menos

PRECISA DE MAIS INFORMAÇÕES?

Avisos legais// Privacidade// Repositório// Fale conosco// Mapa do site


© 2011-2013 VeriSign, Inc. todos os direitos reservados.
VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciaisregistradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.