Em um artigo anterior, discutimos a importância do Domain Name System (DNS), uma estrutura hierárquica que funciona como a “lista telefônica” da internet, convertendo endereços IP de computadores conectados à rede em formas fáceis de lembrar que conhecemos como nomes de domínios (e vice-versa).
Também discutimos o DNSSEC (Domain Name System Security Extensions), um conjunto de extensões da especificação DNS original projetado para tornar mais difícil para criminosos executarem ciberataques como DNS Spoofing, que podem prejudicar os usuários, tanto indivíduos quanto empresas.
Neste artigo, discutiremos como o DNSSEC funciona na Plataforma de Edge da Azion e como você pode habilitá-lo para adicionar uma camada extra de proteção a seus websites e aplicações.
Perguntas frequentes sobre DNSSEC
Como o DNSSEC funciona?
Em resumo, o DNSSEC resolve um dos principais problemas da especificação DNS original: não há uma forma de autenticar as respostas enviadas por um servidor. Isso abre as portas para ataques como DNS Spoofing, onde um criminoso pode se passar por um servidor e entregar uma resposta com dados falsos sobre um domínio, como um endereço IP diferente, redirecionando o tráfego para servidores sob seu controle.
O DNSSEC resolve isso assinando digitalmente as respostas de servidores compatíveis com uma chave criptográfica. Ao comparar assinaturas, é possível autenticar uma resposta, tornando mais difícil a manipulação de informações por um criminoso.
Vale mencionar que o DNSSEC não implementa criptografia de dados: os dados continuam a circular em aberto. Uma analogia é um documento com uma assinatura registrada em cartório: a assinatura garante a autenticidade do documento, mas não faz nada para proteger o conteúdo.
Imagem: Azion Technologies.
A Plataforma de Edge da Azion é compatível com DNSSEC?
Sim, a Plataforma de Edge da Azion é compatível com a especificação DNSSEC e seu uso é suportado em websites e aplicações acelerados por nossos serviços.
Tenha em mente que, para habilitar DNSSEC, seu Top-Level Domain (TLD) deve suportar este recurso. Além disso, sua zona deve estar configurada com os registros de recurso relacionados ao DNSSEC, e o DNSSEC deve estar ativado no seu registrador de domínio.
Quanto custa habilitar o DNSSEC?
Não há custo adicional associado ao uso de DNSSEC na Plataforma de Edge da Azion. Esse recurso é fornecido gratuitamente aos assinantes de nosso serviço Intelligent DNS.
Há um impacto no desempenho associado ao uso do DNSSEC?
Não. Tanto os dados quanto as chaves criptográficas podem ser armazenados em cache, preservando o alto desempenho do serviço DNS.
O que é preciso para hospedar uma zona DNSSEC com a Azion?
Para habilitar a verificação de assinaturas, o DNSSEC exige a administração de novos Resource Records (RR), além dos já em uso:
- DNSKEY: contém a chave pública a ser utilizada na verificação.
- DS (Signatário de Delegação): contém o HASH de um registro DNSKEY. Esse registro é utilizado pelos servidores de DNS recursivos para verificar a autenticidade do próprio DNSKEY.
- RRSIG: contém a assinatura digital de um registro.
- NSEC e NSEC3: viabilizam a resposta da inexistência de um registro consultado, conhecida como negação autenticada de existência, prevenindo que um criminoso falsifique uma resposta de endereço inexistente.
Cada zona DNS tem um par de chaves pública/privada. A chave privada da zona é usada para assinar os dados de DNS da zona e gerar assinaturas digitais desses dados. A chave privada é mantida em segredo, e a chave pública está disponível na própria zona DNS e pode ser recuperada por qualquer um.
Além disso, as seguintes informações serão fornecidas pela Azion para que você possa realizar a ativação de DNS no registrador responsável por seu domínio:
- Chave pública.
- O algoritmo criptográfico usado na geração da chave.
- Endereço dos servidores DNS.
Consulte nossa documentação para instruções passo-a-passo sobre como hospedar uma zona DNSSEC diretamente na plataforma da Azion.
Recomendações gerais e considerações sobre o DNSSEC
- Antes de contratar o serviço, certifique-se de que o registro do TLD oferece suporte ao DNSSEC.
- Alguns dias antes da mudança programada, é recomendado reduzir os TTLs da zona de DNS a ser transferida, bem como utilizar o TTL de poucos minutos nos registros DNSSEC (DS e DNSKEY) a fim de viabilizar uma rápida recuperação em caso de necessidade.
- Para efetivação das novas configurações, aguarde uma nova publicação do responsável pelo TLD.
- A efetiva propagação e visibilidade global da mudança pode demorar alguns dias, pois depende da atualização do cache de resolvers administrados por terceiros.
Conclusão
Ao habilitar DNSSEC no processo de resolução DNS em sua infraestrutura, você a protege contra ameaças como DNS Spoofing. Para saber mais sobre como os serviços da Azion podem ajudá-lo a elevar o nível de segurança oferecido a seus usuários e sua organização, contate nossos especialistas.