EXTENSÕES DE SEGURANÇA DO SISTEMA DE NOMES DE DOMÍNIO (DNSSEC)

O protocolo Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) pode fortalecer a confiança na Internet, ajudando a proteger os usuários de redirecionamentos para sites fraudulentos e endereços indesejados.


Click to play
close

O Sistema de Nome de Domínio (DNS), o sistema de endereços da Internet, é o componente mais importante da infraestrutura da Internet. Sem ele, a Internet não funcionaria. No entanto, ele não foi projetado com a segurança em mente. Como resultado, é vulnerável a ataques man-in-the-middle (MITM) e contaminação de cache. Essas ameaças usam dados falsos para redirecionar o tráfego da Internet para sites fraudulentos e endereços não desejados.

Quando um usuário desavisado ou dispositivo chega a um site fraudulento, os criminosos da Internet podem potencialmente extrair dados de cartão de crédito, roubar senhas de usuário, escutar chamadas VoIP, instalar softwares maliciosos, exibir imagens e textos que difamam marcas legítimas ou fornecer informações enganosas. Uma vez que um único servidor de nomes DNS pode atuar como o ponto de resolução de nome para endereço para milhares de usuários, o impacto potencial de um ataque MITM ou contaminação de cache pode ser considerável.

BENEFÍCIOS DO DNSSEC

Selecione uma função abaixo para saber mais sobre como o DNSSEC afeta você e o papel que ele desempenha em nossa estratégia de autenticação de toda a Internet.

Empresas de registros de domínio Operadores de sites ISPs

EDUCAÇÃO DNSSEC

A Verisign está envolvida no desenvolvimento do DNSSEC desde 2000, e continuamos a colaborar com a comunidade técnica da Internet.

Como funciona o DNSSEC
Cronologia do DNSSEC
Papel da Verisign no DNSSEC

PERGUNTAS FREQUENTES SOBRE O DNSSEC


O DNSSEC protege a comunidade da Internet contra dados de DNS falsos usando criptografia de chave pública para assinar digitalmente os dados da zona de autoridade. A validação do protocolo DNSSEC garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. O DNSSEC também pode provar que um nome de domínio não existe.

Embora o DNSSEC aumente a segurança do DNS, ele não é uma solução abrangente. Ele não protege contra ataques distribuídos de negação de serviço (DDoS), não garante a confidencialidade de trocas de dados, não criptografa dados de sites nem impede o uso de IPs falsos ou roubo de IP. Outras camadas de proteção, como mitigação de DDoS, inteligência da segurança, criptografia com Secure Sockets Layer (SSL) e validação de sites, bem como autenticação com dois fatores, também são muito importantes para tornar a Internet mais segura. Esses mecanismos deverão ser usados em conjunto com o DNSSEC.

O DNSSEC afeta todos os componentes dentro do ecossistema de infraestrutura da Internet. Sua implantação efetiva exigirá o envolvimento de muitos grupos interessados na comunidade da Internet. Registradores, empresas de registros de domínio, solicitantes de registro de nomes de domínio, fornecedores de hardware e software, provedores de serviços de Internet e entidades governamentais, bem como os usuários comuns da Internet: todos têm papéis a desempenhar para garantir o sucesso e trazer melhorias vitais para a segurança da Internet. Benefícios do DNSSEC:

  • A comunidade da Internet através da melhora da segurança nas zonas assinadas.
  • Empresas de registro de domínio, permitindo que elas ofereçam serviços de assinatura de domínio para seus clientes.
  • ISPs, através do aumento da segurança dos dados enviados aos seus clientes.
  • Os usuários, protegendo-os das vulnerabilidades de DNS, como contaminação de cache e ataques man-in-the-middle.

No DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto que a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados de DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS. O DNSSEC usa um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. As zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores autorizados de nomes para essas zonas podem ser gerenciados por empresas de registro de domínio, ISPs, empresas de hospedagem ou pelos próprios operadores dos sites (solicitantes de registro).

Quando um usuário final quer acessar um site, um solucionador simples do sistema operacional do usuário solicita o registro de nome do domínio a partir de um servidor recursivo de nomes localizado em um ISP. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor autorizado de nomes.

Se o servidor recursivo de nomes determinar que o registro de endereço foi enviado pelo servidor autorizado de nomes e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. O DNSSEC também pode provar que um nome de domínio não existe.

Há muitas peças no quebra-cabeça global de segurança na Internet. O DNSSEC tem o potencial de mitigar as preocupações de segurança geradas por ataques "man-in-the-middle" e contaminação de cache, mas esta não é uma solução de segurança global. O DNSSEC não resolve muitas das ameaças mais comuns à segurança da Internet, como falsificações ou roubos. Por isso, outras camadas de proteção como certificados SSL e autenticação de dois fatores são fundamentais para tornar a Internet segura para todos.

A comunidade da Internet ainda não inventou um sistema padronizado para informar os usuários de um ataque. Uma possível solução seria desenvolver navegadores “sensíveis ao DNSSEC”, que notifiquem os usuários que forem encaminhados para destinos autenticados.

Em julho de 2010, a Verisign, trabalhando com a Internet Assigned Numbers Authority (IANA) e o Departamento de Comércio dos Estados Unido (DoC), concluiu a implantação do DNSSEC na zona raiz (o ponto de partida da hierarquia de DNS). A Verisign também habilitou o DNSSEC no .edu em julho de 2010, em colaboração com a EDUCAUSE e o DoC no .net em dezembro de 2010, e no .com em março de 2011.

Nossa estratégia de implementação do DNSSEC é começar com as zonas menores primeiro e avaliar cada implantação de acordo com as lições aprendidas antes de passar para a próxima zona. Como a zona .com é a maior de todas, ela será a última assinada. Queremos obter o máximo possível de experiência antes de lidar com o domínio responsável por grande parte do comércio e das comunicações via Internet.

A implantação bem-sucedida do DNSSEC traz benefícios muito mais abrangentes para a comunidade global da Internet através do aumento da confiança em uma infinidade de atividades na Internet, inclusive comércio online, atividades bancárias online, e-mail, VoIP e distribuição on-line de software. No entanto, a responsabilidade do sucesso do DNSSEC é de toda a comunidade da Internet. O sucesso exige a participação ativa e coordenada de empresas de registro de domínio, solicitantes de registros, empresas de hospedagem, desenvolvedores de software, fornecedores de hardware, entidades governamentais e tecnólogos e coligações da Internet.

A zona raiz da Internet, os domínios de primeiro nível (TLDs) como .gov, .org, .museum, e vários TLDs com códigos de país (ccTLDs), assinaram as zonas que eles gerenciam. Outros TLDs, como .edu, .net e .com, implementaram o DNSSEC em 2010 e 2011. Esses TLDs começaram a aceitar nomes de domínio de segundo nível assinados por DNSSEC. Grandes provedores de serviços de Internet, como a Comcast, ativaram a validação nos servidores recursivos de nomes que respondem perguntas dos usuários, e algumas empresas de registro de domínio incluíram a implementação do DNSSEC em seus roteiros. Além disso, a Internet Corporation for Assigned Names and Numbers (ICANN) abriu aplicações para novos TLDs, e é provável que os planos para a implementação do DNSSEC será obrigatória para aceitar uma nova solicitação de TLD.

Embora tanto o DNSSEC quanto o SSL sejam baseados em criptografia de chave pública, eles desempenham funções muito diferentes que se complementam, em vez de substituir uma à outra.

Em um modelo muito simplista, o DNSSEC cuida de “onde” e o SSL cuida de “quem” e “como”.

  • Onde: o DNSSEC utiliza assinaturas digitais para verificar a integridade dos dados DNS, garantindo que os usuários acessem o endereço IP pretendido. Seu trabalho é feito quando o usuário acessa o endereço. A DNSSEC não garante a identidade da entidade no endereço e não criptografa as interações entre o usuário e o site.
  • Quem: o SSL usa certificados digitais para validar a identidade de um site. Quando esses certificados são emitidos por autoridades de certificação (CAs) externas e confiáveis, o SSL assegura aos usuários a identidade do proprietário do site. No entanto, o SSL não faz nada para garantir que o usuário chegue ao local correto, não sendo assim aplicável contra ataques que redirecionam os usuários. Em outras palavras, a validação de sites via SSL é eficaz, mas somente quando o usuário alcança o destino correto primeiro.
  • Como: o SSL também utiliza certificados digitais para criptografar o intercâmbio de dados entre um usuário e um site, protegendo assim a confidencialidade de transações financeiras, comunicações, comércio online e outras interações sensíveis.

Quando utilizados em conjunto, o DNSSEC e o SSL aumentam a segurança e a confiança na Internet: os usuários podem ter certeza a respeito do seu destino, de com quem estão interagindo e do quanto suas interações são confidenciais.

O memorando 08-23 do Escritório de Gestão e Orçamento dos Estados Unidos (OMB) determinou que o DNSSEC fosse implementado no domínio de nível superior .gov até janeiro de 2009 e que as agências federais dos Estados Unidos implementassem o DNSSEC em sites externos até dezembro de 2009. O registro do .gov foi assinado no início de 2009. A Agência de Defesa de Sistemas de Informação dos Estados Unidos (DISA) também pretende atender às exigências de DNSSEC do OMB para o domínio .mil. As regulamentações do U.S. Federal Information Security Management Act (FISMA) exigem que as agências assinem suas zonas de intranet com o DNSSEC até meados de 2010. Atualmente, não há exigências para que operadores de sites públicos protejam seus domínios com o DNSSEC.

1994: primeiro rascunho a respeito de uma norma padrão é publicado
1997: a RFC (Request For Comments) 2065 é publicada (o DNSSEC é um padrão IETF)
1999: a RFC 2535 é publicada (o padrão DNSSEC é revisado)
2005: uma reescrita completa dos padrões é publicada
RFC 4033 (Introdução e Requisitos)
RFC 4034 (Novos Registros de Recursos)
RFC 4035 (Alterações de Protocolo)
Julho de 2010: zona raiz assinada
Julho de 2010: .edu assinado
Dezembro de 2010: .net assinado
Fevereiro de 2011: o registro .gov habilitado para DNSSEC é transferido para a Verisign
Março de 2011: .com assinado
Março de 2011: o serviço de DNS gerenciando da Verisign é aprimorado com suporte total à conformidade de DNSSEC
Janeiro de 2012: a Comcast anuncia que seus clientes estão utilizando solucionadores de validação DNSSEC
Março de 2012: o número de TLDs assinados cresce para 90