Ir para Conteúdo

DNSSEC

ÂMBITO

DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) concebidas para proteger e autenticar o tráfego DNS.

Estas extensões validam os dados através de assinaturas digitais, fazendo uso da tecnologia de criptografia assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador.

Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do protocolo DNS.

As extensões DNSSEC visam melhorar a confiabilidade dos utilizadores nos serviços prestados, nomeadamente:
  • Suprimir fragilidades do protocolo DNS;
  • Prevenir ataques do tipo man-in-the middle e cache poisoning;
  • Reduzir o risco de manipulação de informação;
  • Reforçar a fiabilidade do sistema.

As ameaças de segurança e a consciencialização dessa realidade têm vindo a ocupar um lugar de destaque nas preocupações por parte das entidades responsáveis por esta matéria, pelo que a procura de soluções que garantam um ambiente mais seguro no serviço e na rede é uma preocupação mundial por parte dos especialistas.

Na sequência dos desenvolvimentos internacionais, acompanhados de perto pelo .pt, têm vindo a ser criadas as condições necessárias para a adoção deste mecanismo de segurança em torno da comunidade DNS. É já considerável o número de TLDs (Top Level Domains) que disponibilizam este mecanismo (.se, .pr, .cz, .bg, .br, .museum, .gov, .org) aos seus utilizadores estando o .pt entre os primeiros e muitos lhe seguiram principalmente após a Root (ou servidor de raiz) ter sido assinada em julho de 2010, o que veio permitir propagar a cadeia de confiança DNSSEC a toda a estrutura hierárquica do DNS, simplificando todo o processo.

Para que se obtenha total proveito deste serviço é necessário haver uma implementação do lado dos ISPs (Internet Service Provider) para que este serviço chegue ao cliente final.

Se tiver dúvidas sobre DNSSEC consulte as FAQs.

IMPLEMENTAR DNSSEC

Se tem conhecimentos de DNS e pretende testar a utilização de DNSSEC num domínio sob .pt, sem inviabilizar o funcionamento dos seus atuais domínios, pode solicitar o registo gratuito de um domínio sob a hierarquia dnssec.pt enviando os seus dados através do formulário abaixo e solicitando um domínio abaixo de dnssec.pt para fins de teste.

Formulário de contacto para informações apenas relacionadas com DNSSEC:

Se tem questões relativamente ao registo de domínios sob .pt, sem ser relacionadas com DNSSEC, deverá utilizar o formulário apropriado para o efeito, disponível em Contactos.

Por favor copie os caracteres da imagem para o campo abaixo.

Captcha 21511574

TUTORIAIS:

SCRIPTS:
• KIT DNSSEC: v0.9 
• Script @ ul.pt: editNsign
• Example files: example file zone / named.conf


RFCs:
• DNS
RFC 1034: Domain Names - Concepts and Facilities
RFC 1035: Domain Names - Implementation and Specification
RFC 1912: Common DNS Operational and Configuration Errors
RFC 2671: Extension Mechanisms for DNS (EDNS0)

• DNSSEC
RFC 4033: DNS Security Introduction and Requirements
RFC 4034: Resource Records for the DNS Security Extensions
RFC 4035: Protocol Modifications for the DNS Security Extensions
RFC 4470. Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4641: DNSSEC Operational Practices
RFC 5155: DNS Security (DNSSEC) Hashed Authenticated Denial of Existence
RFC 6014: Cryptographic Algorithm Identifier Allocation for DNSSEC

• DANE
The DNS-Based Authentication of Named Entities (DANE) / Transport Layer Security (TLS) Protocol: TLSA
Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)
The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance