DNSSEC
DNSSEC

Autenticando a Internet de ponta a ponta.

COMO AS DNSSEC TRABALHAM PARA FORNECER O PROTOCOLO PARA UMA INTERNET SEGURA

A Força Tarefa de Engenharia na Internet (IETF, na sigla em inglês) vem trabalhando há mais de 15 anos no desenvolvimento de um padrão viável para as extensões de segurança do sistema de nomes de domínio (DNSSEC). O DNSSEC protege a comunidade da Internet de falsificações de dados DNS usando criptografia de chave pública para assinar digitalmente dados de zona autorizados quando eles entram no sistema e, em seguida, validá-los em seu destino. Saiba mais sobre criptografia de chave pública.

A assinatura digital garante aos usuários que os dados sejam provenientes da fonte indicada e que não tenham sido modificados durante o trânsito. As DNSSEC também podem provar que um nome de domínio não existe. Esses recursos são essenciais para manter a confiança na Internet.

Nas DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados do DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

As DNSSEC usam um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filha. As zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores de nomes autorizados para essas inúmeras zonas podem ser gerenciados por empresas de registro de domínios, provedores de Internet (ISPs), empresas de hospedagem de sites ou pelas próprias solicitantes de registro.

Quando um usuário final quer acessar um site, um solucionador simples no computador do usuário solicita o endereço IP do site a partir de um servidor de nomes recursivo. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor de nomes autorizado.

Se o servidor de nomes recursivo determinar que o registro de endereço foi enviado pelo servidor de nomes autorizado e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. As DNSSEC também podem provar que um nome de domínio não existe. Como resultado desse processo, consultas e respostas de DNS são protegidas contra ataques man-in-the-middle (MITM) e dos tipos de falsificações que poderiam redirecionar os usuários da Internet para sites falsos.