DNSSEC es una extensión del protocolo DNS para aumentar la seguridad en Internet. El siguiente artículo presenta los conceptos de DNSSEC y su implementación en RADIA_.
El protocolo DNS traduce una dirección legible por nosotros como radia.cloud en un número legible por ordenador, conocida como dirección IP. En el momento en que ingreses un nombre de dominio en el navegador o en cualquier otra aplicación, tu dispositivo buscará la dirección IP correspondiente.
El protocolo DNS no está protegido.
Tu dispositivo usará la dirección IP encontrada pero no tendrá la capacidad de verificar si es válida. Existe el riesgo, por pequeño que sea, de que la dirección IP devuelta sea incorrecta. Esto puede ser accidental y lo notará de inmediato porque el sitio web que espera no está cargado. Pero también puede ser parte de un intento de phishing: alguien capaz de falsificar tu sitio web.
DNSSEC es una extensión del protocolo DNS e incluye firmas digitales para cada registro. Esta firma puede ser validada por tu dispositivo y dice dos cosas: el registro lo crea la fuente que tu esperas que sea, y la información que contiene no se modifica. De esta manera, puede confiar plenamente en el resultado que obtienes y asegurarte de estar en el sitio web que deseas.
Hemos publicado un artículo separado dedicado al proceso de validación de DNSSEC y la cadena de confianza.
Estado actual de DNSSEC
Tras un comienzo lento en 2010, DNSSEC ahora es compatible con la mayoría de los registros. Internet Society publica buenos gráficos del estado actual de adopción dentro de los ccTLD. En el momento de escribir este artículo , las grandes excepciones son Italia, Argentina y la mayoría de los países africanos. Para los gTLD, la ICANN requiere DNSSEC, por lo que la adopción de gTLD es del 100%.
Ten en cuenta que DNSSEC solo se puede utilizar como se diseñó si la cadena de resolución está completa desde su dispositivo hasta los servidores raíz, es compatible con DNSSEC. RADIA_ admite DNSSEC para la mayoría de las extensiones, por lo que si usas los servidores de nombres de RADIA_, puedes beneficiarse de sus ventajas sin tener que mantener un servidor de nombres DNSSEC por ti mismo.
La adopción al final de la cadena (su ISP) se vuelve cada vez más común. Google es una buena incubadora porque los servidores de nombres de Google, utilizados por muchos, muchos usuarios de Internet, ya validan la información DNSSEC. Si su ISP aún no lo admite, has de saber que existen soluciones alternativas en forma de plugins. El número de dominios protegidos por DNSSEC aumenta rápidamente, por lo que también crece la presión sobre los ISP para que lo respalden.
DNSSEC vs certificados SSL
Aunque los certificados DNSSEC y SSL utilizan el mismo principio para proteger los datos, no deben confundirse, ya que tienen un propósito diferente. DNSSEC autentica los datos: los datos recibidos provienen de la fuente que se esperaba y que no esté alterada. Un certificado SSL cifra los datos transmitidos: ningún tercero puede leer los datos excepto el servidor al que los envía.
DNSSEC no cifra ningún dato: un sitio web que ejecuta en DNSSEC seguirá requiriendo un certificado SSL para la transmisión segura de datos. ¡Esta es la combinación perfecta para la seguridad de su sitio web!
Sin embargo, la tecnología DANE es una combinación de ambos: almacena certificados validados de dominio (cifrado sin autenticación) en una zona DNS protegida por DNSSEC. Debido a que el registro DNS está protegido por DNSSEC, el certificado incluido puede ser completamente confiable. Con este certificado, se puede asegurar el tráfico.
DNSSEC en servidores de nombres RADIA_
Si utilizas los servidores de nombres de RADIA_, no es necesario que haga nada: RADIA_ se encargará de firmar las zonas y publicar las claves correspondientes en los archivos de zona del registro. Por supuesto, si alguna vez deseas que una zona no esté firmada, ¡puede hacerlo de forma sencilla!
DNSSEC en servidores de nombres de terceros
Si usas tus propios servidores de nombres para tus dominios, primero debes habilitar DNSSEC en tus servidores de nombres.
Una vez firmadas tus zonas, puedes proporcionar las claves correspondientes (hasta un máximo de 4 claves) al registro, utilizando cPanel de RADIA_. Una vez que la clave se haya publicado en el archivo de zona del registro, tu dominio estará protegido por DNSSEC.
DNSSEC, la parte complicada.
La parte complicada de DNSSEC implica las actualizaciones del servidor de nombres en los dominios que están protegidos por DNSSEC. Estas pueden ser actualizaciones regulares del servidor de nombres, pero también una transferencia de dominio hacia o desde RADIA_. Con una buena preparación, la actualización se realizará sin problemas y el dominio estará protegido sin interrupciones.
La clave para las actualizaciones exitosas del dominio DNSSEC es el tiempo y el uso de varias claves que están activas al mismo tiempo. RADIA_ admite hasta cuatro claves para cada dominio.
Si no hay forma de realizar la actualización de forma segura (por ejemplo, si el proveedor de DNS actual no puede o no quiere cooperar), una alternativa simple es deshabilitar temporalmente DNSSEC para el dominio hasta que la actualización se haya procesado por completo y luego habilitar DNSSEC nuevamente. Por supuesto, esto reduce temporalmente la seguridad del dominio.
Verifica que tu dominio está seguro con DNSSEC
Hay una serie de herramientas útiles disponibles online para verificar la configuración de tu nombre de dominio seguro DNSSEC. Algunos que te recomendamos son:
- VeriSign Labs DNSSEC debugger, limpio y rápido
- DNSViz, muestra gráficos muy completos
- ZoneMaster, para comprobaciones generales de DNS que contienen una gran cantidad detalles
Para cualquier verificación, ten en cuenta la frecuencia de actualización del archivo de zona del registro: si actualizas un dominio .es, por ejemplo, han de pasar hasta 45 minutos antes de que el registro publique las nuevas claves en el archivo de zona. Cualquier verificación tendrá que esperar hasta ese momento.