imgSubHeaderWhyVerisignAlt
Inovação + Iniciativas

Enquanto a Internet continua a expandir, mantemos nosso compromisso com a criação e o desenvolvimento de avanços que mantêm a Internet rápida, segura e confiável para todos os usuários.

Registradores de DNSSEC

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) apresentam novas oportunidades e novos desafios para as registradoress. A Verisign está comprometida em trabalhar com suas registradores afiliadas para tornar a DNSSEC o mais simples e valiosa possível. Saiba o que as DNSSEC significam para você, o que você pode fazer para se preparar para as DNSSEC, e como as ferramentas, informações e os recursos da Verisign podem ajudá-lo a planejar, testar e habilitar as DNSSEC de forma efetiva.

Por que agir agora O que fazer Onde começar Ferramentas

Conforme a adoção da DNSSEC ganha impulso, a DNSSEC provavelmente se tornará uma imperativa dos negócios das registradoress, orientada pelas necessidades internas como gerenciamento de riscos e demanda dos clientes para uma experiência de Internet mais segura.

As registradoress têm um papal muito importante para os sucesso da DNSSEC. Alguns provedores de serviços de Internet (ISPs) registradoress .net/.com já estão trabalhando para implantar a DNSSEC. Como a implementação da DNSSEC é um processo complexo, a Verisign recomenda uma abordagem cuidadosa e metódica. Os fornecedores de hardware precisam começar logo a fim de ter tempo para planejar, desenvolver, testar e aperfeiçoar seus produtos.

Agindo agora, as registradoress podem se estabelecer como líderes e modelos, se diferenciar da concorrência e obter uma vantagem inicial com relação às novas oportunidades de lucros. Como pioneiras, elas também podem influenciar o desenvolvimento de produtos e serviços, bem como outras iniciativas do setor, que suportam e beneficiam seus negócios.

Benefícios das DNSSEC para provedores proativos
A DNSSEC é um ingrediente essencial na abordagem em camadas da segurança na Internet. Adicionando essa camada de forma proativa, é possível:

  • Ajudar a proteger os clientes e a marca das registradoress.
  • Manter a confiança e lealdade dos clientes.
  • Atrair e reter clientes com foco em segurança e reputação.
  • Criar novas ofertas de serviços, tais como zonas de assinatura para os clientes.
  • Abrir as portas para usar o DNS para novos tipos de transações de dados seguras (por exemplo: publicação de outros tipos de chaves públicas e autenticação da origem de e-mails).
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer liderança e influência para moldar o futuro da DNSSEC.

A DNSSEC introduz mudanças complexas, que afetam todas as partes envolvidas na cadeia de resolução e consulta do DNS, especialmente as registradoress e outras entidades de hospedagem que administram servidores autoritativos de nomes e prestam serviços de gerenciamento essenciais para os clientes. Nós fornecemos ferramentas e trabalharemos com você para garantir que a sua implementação da DNSSEC seja bem-sucedida.

Para desenvolver os novos serviços que os clientes provavelmente exigirão uma vez que a DNSSEC for implantado, você terá que assinar os nomes de domínio do cliente. Ativar a DNSSEC para um cliente envolve criar pares de chaves privada/pública para o nome do domínio, criar e assinar a zona e gerenciar os pares de chaves. Esses processos garantem que os resolvedores com DNSSEC ativa dentro do ecossistema da Internet possam verificar a autenticidade das respostas recebidas da zona.

Também será necessário alterar a interface para os seus clientes, para que ela aceite dados da chave DNSSEC, e alterar a interface do Protocolo de Provisionamento Extensível (EPP) para transmitir dados da chave DNSSEC para os registros com os quais você interage.

Assinatura de Zona
As seguintes tarefas estão associadas à criação e assinatura de uma zona:

  • Estabelecer chaves ZSK, que assinam os registros da zona
  • Estabelecer as chaves KSK, que assinam os registros chave na zona e ajudar a construir a hierarquia de confiança
  • Gerar uma zona não assinada
  • Assinar a zona
  • Testar o sistema de assinatura em um ambiente de teste offline
  • Introduzir assinatura aos poucos, por exemplo, usando-a primeiramente em redes internas, para garantir que tudo continua a funcionar corretamente

Gerenciamento de Chaves Contínuo
A DNSSEC requer que você altere as chaves privadas regularmente para minimizar o risco que um ator mal intencionado obtenha sua chave. Uma sobreposição de chave envolve a alteração do par de chaves de uma zona e a reassinatura da zona com a nova chave privada. Se uma chave KSK é sobreposta, será necessário atualizar o registro com as informações da nova chave pública (registros do signatário da delegação).

As seguintes tarefas estão associadas com o gerenciamento de chaves:

  • Lidar com sobreposições de chaves (regulares e de emergência) ZSK e KSK
  • Realizar a reassinatura regular e programada de registros de recursos relacionados à segurança
  • Atualizar a zona pai com os registros do signatário da delegação (DS records) com base nas chaves KSK

Considerações adicionais
A hospedagem de uma zona assinada requer a implementação de servidores de nomes compatíveis com DNSSEC O gerenciando das chaves requer hardware e software de DNSSEC especializados A implementação e o gerenciamento destes componentes é um processo complexo e demorado. Você tem várias opções: desenvolver uma solução de DNSSEC in-house, comprar produtos de DNS com DNSSEC habilitado padrões, ou trabalhar com um fornecedor de serviços gerenciados de qualidade, que faça a assinatura e o gerenciamento das chaves de DNSSEC.

Para soluções padrões ou in-house, será necessário planejar e programar cuidadosamente a integração dos novos dispositivos no seu sistema. Você também deverá testar a implementação dos dispositivos fora do ambiente de produção para garantir que os dispositivos funcionam corretamente quando a DNSSEC está habilitada. O Ambiente de Teste Operacional (OTE) da Verisign está disponível gratuitamente para fazer esses testes para as empresas de registros de domínios .com e .net.

Você também deve inspecionar se os seus dispositivos de rede antigos e atuais podem suportar a DNSSEC. Por exemplo: eles podem lidar com os pacotes DNSSEC, que podem ser maiores do que os pacotes tradicionais de DNS? Eles suportam o Protocolo de Controle de Transmissão (TCP) e os mecanismos de extensão para os pacotes de DNS? Uma maneira de determinar a efetividade do trabalho desses componentes com a DNSSEC é testá-los no Laboratório de Interoperabilidade da Verisign, que também é gratuito.

As registradoress podem tomar medidas progressivas para alcançar o objetivo de um sistema com DNSSEC habilitada, o que ajuda a manter a confiança de clientes e usuários finais, oferece novas oportunidades de receita e fornece uma vantagem competitiva. Com base em insights de especialistas do setor e nas lições aprendidas através da implementação do DNSSEC nas zonas raízes .edu, .net e .com, sugerimos as seguintes etapas para começar.

Explorar e educar

  • Entenda como a DNSSEC se encaixa na sua estratégia de segurança cibernética.
  • Conheça os benefícios e desafios da implementação das DNSSEC.
  • Entenda a criptografia de chaves públicas, os padrões de criptografia e como as assinaturas digitais e as chaves públicas/privadas funcionam em conjunto.
  • Garanta que suas equipes de TI e de atendimento ao cliente recebam treinamento adequado.
  • Programe estratégias para educar os clientes sobre as DNSSEC.

Planejamento

  • Estabeleça um cronograma para a adoção das DNSSEC.
  • Decida como você integrará as DNSSEC na sua arquitetura de DNS existente.
  • Considere as opções de implementação: desenvolvimento in-house, produtos padrões de DNS com DNSSEC habilitada ou serviços gerenciados.

Avaliar e atualizar

  • Determinar o impacto, caso existente, que as DNSSEC terão na largura de banda da rede. (a DNSSEC aumenta o tráfego de rede)
  • Considere como as DNSSEC afetarão o gerenciamento de DNS.
  • Revise e atualize a segurança e as políticas de gerenciamento de chaves para incluir agendamentos para a sobreposição das chaves, refletir a respeito dos novos papéis e responsabilidades que as DNSSEC introduzem e preparar-se para o armazenamento seguro de chaves.
  • Certifique-se de sua rede está configurada corretamente; certifique-se de que as definições de zonas estão precisas e completas.
  • Pergunte a seus fornecedores de hardware onde a DNSSEC se encaixa em seus planos e se há atualizações disponíveis para seus atuais dispositivos de rede.
  • Atualize o hardware de DNS e o software do servidor de nomes, conforme necessário, para que eles sejam compatíveis com DNSSEC.
  • Avalie produtos e serviços que suportam sua implementação.

Participe

  • Inscreva-se no Fórum de Registradoress da Verisign.
  • Use o Ambiente de Teste Operacional (OTE) da Verisign, que permite que você teste a sua implementação DNSSEC.
  • Trabalhe com consórcios do setor, entidades de padrões e fornecedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.

A Verisign está comprometida a baixar os custos da sua implementação de DNSSEC e ajudá-lo a identificar a melhor estratégia de implementação. Nós desenvolvemos uma gama de ferramentas, serviços, suporte e outros recursos para ajudá-lo com a implantação e o desenvolvimento das DNSSEC.

A Verisign oferece as seguintes ferramentas e serviços para facilitar a implementação das DNSSEC para as registradoress.

Você pode usar o Ambiente de Teste Operacional de ponta a ponta da Verisign para testar a sua implementação das DNSSEC bem antes da ativação prevista das DNSSEC para os domínios .net e .com.

O OTE é uma reprodução das plataformas de registro para os domínios .com e .net que você implementará na produção. O ambiente de ponta a ponta permite que você envie, registre e resolva nomes com registros do signatário da delegação (DS records) para ambos os domínios .net e .com. Também é possível utilizar o OTE para testar a integração de aplicativos front-end voltados ao cliente e as capacidades de assinatura de chaves.

O OTE inclui os seguintes componentes:

  • Registro back-end: uma réplica de um registro back-end, que pode aceitar nomes de domínios de teste e dados de registros do signatário da delegação de teste através de uma interface EPP de registro operacional e uma interface de usuário da Web; essa réplica do sistema de registro providencia atualizações dos arquivos de zona para testar os servidores de nomes.
  • Servidores de nomes de resolução: uma réplica de uma plataforma de resolução, que recebe zonas de “teste” que uma empresa de registro envia ao OTE; as empresas então serão capazes de analisar as respostas da consulta que os servidores de nomes de teste enviarem ao OTE, de modo que a zona de teste possa ser completamente validada.

Para acessar o OTE, entre em contato com o Atendimento ao Cliente da Verisign.

O Fórum Técnico de DNSSEC Online permite que sua equipe técnica compartilhe as melhores práticas e participe de discussões abertas sobre DNSSEC com colegas e engenheiros da Verisign. Sua equipe também pode receber suporte à implementação, orientação para assinatura e gerenciamento de chaves, atualizações sobre notícias e desenvolvimento das DNSSEC, o Guia da Ferramentas de DNSSEC, e muito mais. Essa valiosa ferramenta de colaboração é privada e segura.

Inscreva-se no Fórum Técnico de DNSSEC Online. (Acesso sujeito às credenciais NameStore e a restrições de acesso). Não consegue acessar? Fale conosco.

O Guia da Ferramentas de DNSSEC está disponível através do Fórum Técnico de DNSSEC Online (veja acima). Ele inclui uma análise das ferramentas de código aberto e das soluções disponíveis com base no mercado, uma matriz de comparação de ferramentas, orientações para o gerenciamento de chaves, uma ferramenta de chaves de zona e ferramentas de DNSSEC.

O kit de desenvolvimento de software (SDK) de DNSSEC da Verisign permite que você integre mais facilmente os seus servidores de nomes com os sistemas de DNSSEC da Verisign. Você também pode usar as nossas ferramentas SDK EPP para testar ou validar comandos EPP sem construir um programa.

Acesse o EPP SDK.

Os campos de treinamento técnicos são sessões de treinamento, que tomam dias inteiros, com os principais engenheiros de desenvolvimento de DNSSEC da Verisign. Os engenheiros discutem o que estamos desenvolvendo, qual a aparência da interface EPP e os requisitos de DNSSEC para as registradoress.

Saiba mais sobre os Campos de Treinamento Técnico de DNSSEC.

O Laboratório de Interoperabilidade de DNSSEC da Verisign permite que os membros da comunidade de TI testem gratuitamente a compatibilidade dos seus componentes de infraestrutura empresarial e da Internet com a DNSSEC. Usando a instalação de testes, as registradoress podem determinar como seus componentes existentes de infraestrutura comportam-se em um ambiente com DNSSEC ativada.

Saiba mais sobre o nosso Laboratório de Interoperabilidade de DNSSEC.

Precisa de mais informações?

Telefone +1-703-925-6999
E-mail ou Bate-papo Envie um e-mail para o Suporte ao cliente.

Avisos legais//Privacidade//Repositório//Fale conosco//Feedback//Mapa do site


© 2011-2012 VeriSign, Inc. todos os direitos reservados.
VERISIGN, a logomarca VERISIGN, e outras marcas registradas, marcas de serviço e arte são registradas ou canceladas por VeriSign Inc. e suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas registradas são propriedade de seus respectivos donos.