Innovación

DNSSEC

Autenticación de internet de extremo a extremo.

Desarrollo de las DNSSEC desde sus inicios

Verisign ha participado en el desarrollo de las DNSSEC desde el año 2000, y nuestros ingenieros desempeñaron una función crucial en el desarrollo del protocolo de negación de existencia autenticada con la función Hash (NSEC3) para las DNSSEC. A medida que avanzan las pruebas, la implementación y la adopción de las DNSSEC, seguimos colaborando con la comunidad técnica de internet y participando en organizaciones de la industria.

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) pueden fomentar la confianza en internet al evitar que los usuarios sean redireccionados a sitios web fraudulentos o direcciones no deseadas.

En julio de 2010 Verisign, en conjunto con la Autoridad de números asignados para internet (IANA) y el Ministerio de Comercio (DoC) de los Estados Unidos, completó la implementación de las DNSSEC en la zona raíz (el punto inicial de la jerarquía de los DNS). Verisign también habilitó las DNSSEC para los dominios .edu en julio de 2010 en colaboración con EDUCAUSE y el DoC, y en diciembre de 2010 y marzo de 2011 habilitó los dominios .net y .com respectivamente. La adopción de las DNSSEC ha avanzado desde el 2011, contando al momento con más de un tercio de los registros que operan dominios de primer nivel (TLD).

Además, adoptamos varias medidas para ayudar a que los miembros del ecosistema de internet aprovechen las DNSSEC. Estos pasos incluyen la publicación de recursos técnicos, la provisión de un entorno de pruebas operativas, la conducción de sesiones educativas, la participación en foros de la industria y el desarrollo de herramientas que simplifiquen la administración de las DNSSEC.

Verisign se compromete a ser el encargado de confianza de internet. Como registro de .com y .net y proveedor de servicios cruciales para la infraestructura de internet, nuestro objetivo es permitir que se desarrollen las próximas innovaciones de internet, mientras protegemos a esta comunidad contra las nuevas amenazas informáticas. Nuestro trabajo con las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) es otro paso en nuestro camino hacia el fortalecimiento de la infraestructura crucial de internet mediante la inversión.


Cronograma de las DNSSEC

1990 Se descubre una falla importante en el DNS y se inicia el diálogo al respecto de la seguridad del DNS.
1995 Las DNSSEC se convierten en un tema oficial de la IETF.
1999 Se completa el protocolo de las DNSSEC (RFC2535) y se desarrolla BIND9 como la primera implementación con funcionalidades DNSSEC.
2001 El manejo de claves genera problemas operativos que impiden la implementación de las DNSSEC para redes de gran tamaño. La IETF decide volver a redactar el protocolo.
2005 Las normas DNSSEC son redactadas nuevamente en varias RFC: 4033, 4034 y 4035. En octubre, Suecia (.se) habilita las DNSSEC en su zona.
2007 En julio, el ccTLD .pr (Puerto Rico) habilita las DNSSEC seguido por el .br (Brasil) en setiembre y el .bg (Bulgaria) en octubre.
2008 Se publica la norma NSEC3 (RFC 5155). En setiembre, el ccTLD .cz (República Checa) habilita las DNSSEC.
2009 Verisign y EDUCAUSE realizan un banco de pruebas de las DNSSEC para registrantes .edu seleccionados. Se firma la zona raíz para uso interno de ICANN y Verisign. ICANN y Verisign practican la firma del ZSK con el KSK.
2010 El primer servidor raíz comienza a atender la raíz firmada mediante la metodología DURZ (raíz intencionalmente no validable). Todos los servidores raíz comienzan a atender la raíz firmada usando la metodología DURZ. ICANN realiza su primer ceremonia KSK en Culpeper, Vancouver, Estados Unidos. ICANN publica el anclaje de veracidad de la raíz y los operadores de raíz comienzan a atender la zona de raíz firmada con claves reales; la raíz firmada está ahora disponible. Verisign y EDUCAUSE habilitan las DNSSEC para el dominio .edu. Verisign habilita las DNSSEC para el dominio .net.
2011 En febrero, se traspasa a Verisign el registro .gov con las DNSSEC habilitadas. En marzo se firma el .com y se mejora el servicio de gerencia de DNS de Verisign para cumplir por completo con las DNSSEC. Se firman 59 TLD con anclajes de veracidad en la zona raíz.
2012 En enero, Comcast anuncia que sus clientes están usando servidores de resolución con validación de DNSSEC. Al mes de marzo se alcanzaron los 90 TLD firmados.