Inovação

Extensões de segurança do sistema de nomes de domínio (DNSSEC)

Autentica a Internet de ponta a ponta

Fornecendo o protocolo para uma Internet segura

A Força-Tarefa de Engenharia na Internet (Internet Engineering Task Force - IETF) vem trabalhando por mais de 15 anos para desenvolver um padrão funcional para as extensões de segurança do sistema de nome de domínio (DNSSEC). As DNSSEC protegem a comunidade da Internet contra dados falsos de DNS, usando criptografia de chave pública para assinar digitalmente os dados da zona autorizada quando eles entram no sistema e então validar os dados em seu destino. Saiba mais sobre a criptografia de chave pública.

A assinatura digital garante aos usuários que os dados sejam provenientes da fonte indicada e que não tenham sido modificados durante o trânsito. As DNSSEC também podem provar que um nome de domínio não existe. Esses recursos são essenciais para manter a confiança na Internet.

Nas DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados do DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

As DNSSEC usam um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. As zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores de nomes autorizados para essas inúmeras zonas podem ser gerenciados por distribuidores autorizados de domínios, também chamados de empresas de registro de domínios, provedores de Internet (ISPs), empresas de hospedagem ou pelas próprias operadoras dos sites (solicitantes de registro).

Aplicativo Verisign DNSSEC Analyzer

Esse aplicativo móvel fornece as informações e/ou problemas relacionados à configuração da sua chave DNSSEC.

Quando um usuário final quer acessar um site, um solucionador simples no computador do usuário solicita o endereço IP do site a partir de um servidor de nomes recursivo. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor de nomes autorizado.

Se o servidor de nomes recursivo determinar que o registro de endereço foi enviado pelo servidor de nomes autorizado e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. As DNSSEC também podem provar que um nome de domínio não existe. Como resultado desse processo, consultas e respostas de DNS são protegidas contra ataques man-in-the-middle (MITM) e contra os tipos de falsificações que poderiam redirecionar os usuários da Internet para sites falsos.