Ir para Conteúdo

DNSSEC

ÂMBITO

DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) concebidas para proteger e autenticar o tráfego DNS.

Estas extensões validam os dados através de assinaturas digitais, fazendo uso da tecnologia de criptografia assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador.

Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do protocolo DNS.

As extensões DNSSEC visam melhorar a confiabilidade dos utilizadores nos serviços prestados, nomeadamente:
  • Suprimir fragilidades do protocolo DNS;
  • Prevenir ataques do tipo man-in-the middle e cache poisoning;
  • Reduzir o risco de manipulação de informação;
  • Reforçar a fiabilidade do sistema.

As ameaças de segurança e a consciencialização dessa realidade têm vindo a ocupar um lugar de destaque nas preocupações por parte das entidades responsáveis por esta matéria, pelo que a procura de soluções que garantam um ambiente mais seguro no serviço e na rede é uma preocupação mundial por parte dos especialistas.

Na sequência dos desenvolvimentos internacionais, acompanhados de perto pelo .pt, têm vindo a ser criadas as condições necessárias para a adoção deste mecanismo de segurança em torno da comunidade DNS. É já considerável o número de TLDs (Top Level Domains) que disponibilizam este mecanismo (.se, .pr, .cz, .bg, .br, .museum, .gov, .org) aos seus utilizadores estando o .pt entre os primeiros e muitos lhe seguiram principalmente após a Root (ou servidor de raiz) ter sido assinada em julho de 2010, o que veio permitir propagar a cadeia de confiança DNSSEC a toda a estrutura hierárquica do DNS, simplificando todo o processo.

Para que se obtenha total proveito deste serviço é necessário haver uma implementação do lado dos ISPs (Internet Service Provider) para que este serviço chegue ao cliente final.

Se tiver dúvidas sobre DNSSEC consulte as FAQs ou o tutorial

IMPLEMENTAR DNSSEC

Se tem conhecimentos de DNS e pretende testar a utilização de DNSSEC num domínio sob .pt, sem inviabilizar o funcionamento dos seus atuais domínios, pode solicitar o registo gratuito de um domínio sob a hierarquia dnssec.pt enviando os seus dados através do formulário abaixo e solicitando um domínio abaixo de dnssec.pt para fins de teste.

Para questões relacionadas com extensões de Segurança ao DNS (DNSSEC):

Se necessita de esclarecimentos relacionados com o registo de domínios sob .pt, deverá utilizar o formulário disponível em Contactos.

Por favor copie os caracteres da imagem para o campo abaixo.

Captcha 53016713

TUTORIAIS:

SCRIPTS:
• KIT DNSSEC: v0.9 
• Script @ ul.pt: editNsign
• Example files: example file zone / named.conf


RFCs:
• DNS
RFC 1034: Domain Names - Concepts and Facilities
RFC 1035: Domain Names - Implementation and Specification
RFC 1912: Common DNS Operational and Configuration Errors
RFC 2671: Extension Mechanisms for DNS (EDNS0)

• DNSSEC
RFC 4033: DNS Security Introduction and Requirements
RFC 4034: Resource Records for the DNS Security Extensions
RFC 4035: Protocol Modifications for the DNS Security Extensions
RFC 4470. Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4641: DNSSEC Operational Practices
RFC 5155: DNS Security (DNSSEC) Hashed Authenticated Denial of Existence
RFC 6014: Cryptographic Algorithm Identifier Allocation for DNSSEC

• DANE
The DNS-Based Authentication of Named Entities (DANE) / Transport Layer Security (TLS) Protocol: TLSA
Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)
The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance