O que é DNSSEC e você deve ativá-lo para o seu site?

NicoElNino / Shutterstock. com

O DNS foi projetado há mais de 30 anos, quando a segurança não era o foco principal da Internet. Sem proteção extra, é possível que invasores MITM falsifiquem registros e levem os usuários a sites de phishing. DNSSEC acaba com isso e é fácil de ativar.

DNS por si só não é seguro

O sistema DNS não inclui métodos integrados para verificar se a resposta à solicitação não foi forjada ou se qualquer outra parte do processo não foi interrompida por um invasor. Isso é um problema porque sempre que um usuário deseja se conectar ao seu site, ele precisa fazer uma pesquisa de DNS para traduzir seu nome de domínio em um endereço IP utilizável. Se o usuário estiver se conectando de um local inseguro, como uma cafeteria, é possível que invasores mal-intencionados fiquem no meio e falsifiquem os registros DNS. Este ataque pode permitir que eles redirecionem usuários para uma página maliciosa, modificando o registro A do endereço IP.

Felizmente, existe uma solução — DNSSEC, também conhecido como DNS Security Extensions, corrige esses problemas. Ele protege as pesquisas de DNS ao assinar seus registros de DNS usando chaves públicas. Com o DNSSEC habilitado, se o usuário obtiver uma resposta maliciosa, seu navegador pode detectar isso. Os invasores não têm a chave privada usada para assinar os registros legítimos e não podem mais fingir uma falsificação.

A assinatura de chaves de

DNSSEC &’ vai por toda a cadeia. Quando você se conecta a example. com, seu navegador primeiro se conecta à zona de raiz do DNS, gerenciada pela IANA, depois ao diretório da extensão (. com, por exemplo) e, a seguir, aos servidores de nomes de seu domínio. Quando você se conecta à zona raiz do DNS, seu navegador verifica a chave de assinatura da zona raiz gerenciada pela IANA para verificar se está correta, depois a chave de assinatura do diretório . com (assinada pela zona raiz) e a chave de assinatura do seu site , que é assinado pelo diretório . com e não pode ser forjado.

É importante notar que, em um futuro próximo, isso não será tanto um problema. O DNS está sendo movido para HTTPS, o que o protegerá contra todos os tipos de ataques MITM, tornará o DNSSEC desnecessário e também impedirá que os ISPs espionem seu histórico de navegação — o que explica por que a Comcast está fazendo lobby contra ele. No entanto, como está, é um recurso opcional no Chrome e no Firefox (com suporte para sistema operacional no Windows em breve), então você ainda desejará habilitar o DNSSEC enquanto isso.

Como habilitar DNSSEC

Se você estiver executando um site, especialmente um que lida com dados do usuário, você desejará ativar o DNSSEC para evitar quaisquer vetores de ataque DNS. Não há nenhuma desvantagem nisso, a menos que seu provedor de DNS o ofereça apenas como “ premium ” recurso, como GoDaddy faz. Nesse caso, recomendamos que você mude para um provedor de DNS adequado, como o Google DNS, que não lhe dará nenhum crédito por segurança básica. Você pode ler nosso guia para usá-lo aqui ou mais sobre como transferir seu domínio.

Publicidade

Se você estiver usando o Google Domains, a configuração é literalmente apenas um botão, encontrado no console do domínio em “ DNS ” na barra lateral. Marque “ Ativar DNSSEC. ” Isso levará algumas horas para ser concluído e assinar todas as chaves necessárias. O Google Domains também oferece suporte total a DNS sobre HTTPS, de modo que os usuários que o ativaram estarão totalmente seguros.

Para Namecheap, esta opção também é apenas uma alternância em “ DNS avançado ” nas configurações do domínio e é totalmente gratuito:

Se você estiver usando o AWS Route 53, ele, infelizmente, não é compatível com DNSSEC. Essa é uma desvantagem necessária para os recursos elásticos de DNS que o tornam excelente em primeiro lugar: recursos como registros de alias, balanceamento de carga de nível de DNS, verificações de integridade e roteamento baseado em latência. Como o Route 53 não pode assinar razoavelmente esses registros toda vez que eles mudam, o DNSSEC não é possível. No entanto, se você estiver usando seus próprios servidores de nomes ou um provedor DNS diferente, ainda é possível habilitar o DNSSEC para domínios registrados usando o Route 53 — mas não para domínios que usam o Route 53 como serviço DNS.