O que é DNSSEC (extensões de segurança de DNS)?

Em termos simples, o DNSSEC ajuda a garantir que os usuários sejam direcionados para o site real que estão procurando, e não para um site falso. Embora não mantenha as pesquisas privadas (a segurança da camada de transporte, ou TLS, é um protocolo de segurança projetado para garantir a privacidade na Internet), ele ajuda a impedir que entidades maliciosas insiram respostas de DNS manipuladas nas solicitações de DNS.

O DNSSEC (abreviação de extensões de segurança do Sistema de Nome de Domínio) é usado para estender o protocolo DNS e lidar com as vulnerabilidades no DNS que deixam o sistema suscetível a vários ataques cibernéticos, como falsificação de DNS, envenenamento de cache do DNS, ataques de intermediários e outras modificações não autorizadas nos dados DNS. A implementação do DNSSEC ajuda a fortalecer o DNS contra esses riscos potenciais, fornecendo uma infraestrutura mais segura e confiável para a internet. Quando um resolvedor de DNS consulta informações, as respostas de pesquisa de DNS são validadas por meio da verificação de assinaturas digitais, confirmando a autenticidade e a integridade dos dados recebidos.

À medida que as ameaças à cibersegurança continuam evoluindo, é provável que a demanda por medidas de segurança robustas, incluindo DNSSEC, cresça. Organizações como a Internet Corporation for Assigned Names and Numbers (ICANN) promovem ativamente sua adoção global, refletindo um crescente reconhecimento do seu papel crucial na segurança do DNS.

Para ajudar a proteger o DNS, as extensões de segurança do DNS adicionam assinaturas criptográficas aos registros de DNS existentes. Essas assinaturas são armazenadas em servidores de nome DNS com outros tipos de registro DNS, como registros A (que criam uma conexão direta entre um endereço IPv4 e um nome de domínio), registros AAAA (que conectam nomes de domínio a endereços IPv6), registros MX (que direcionam e-mails para um servidor de e-mail de domínio) e registros CNAME (que mapeiam aliases para seus nomes de domínio verdadeiros ou "canônicos").

Outros registros e termos relacionados que são úteis para entender como o DNSSEC funciona incluem:

Os registros DS são usados para estabelecer uma cadeia segura de confiança entre uma zona principal e uma zona secundária. Eles contêm o hash criptográfico de um registro DNSKEY.

Os registros DNSKEY (também conhecidos como chaves DNSSEC) armazenam chaves públicas associadas a uma zona DNS específica. Essas chaves são usadas para verificar assinaturas digitais e garantir a autenticidade e integridade dos dados DNS dentro dessa zona.

Os registros RRSIG contêm uma assinatura criptográfica associada a um conjunto de registros de recursos DNS.

Esta é uma coleção de todos os registros de recursos de um tipo específico associado a um nome específico no DNS. Por exemplo, se você tiver dois endereços IP associados a "example.com", os registros A desses endereços seriam agrupados para formar um RRset.

Este é um registro que lista os tipos de registro existentes para um domínio e é usado para indicar a negação autenticada da existência de um nome de domínio específico. Funciona retornando o registro "próximo seguro". Por exemplo, se um resolvedor recursivo consulta um servidor de nomes em busca de um registro que não existe, o servidor de nomes retorna outro registro – o "próximo registro seguro" definido no servidor – indicando que o registro solicitado não existe.

Este é um aprimoramento do NSEC. Ele melhora a segurança, tornando mais difícil para os invasores prever ou adivinhar os nomes dos domínios existentes em uma zona. Ele funciona de maneira semelhante ao NSEC, mas usa nomes de registros com hash criptográfico para evitar listar os nomes em uma zona específica.

Pares de chaves de assinatura de zona (uma chave pública e uma chave privada) são chaves de autenticação usadas para assinar e verificar um RRset. No DNSSEC, cada zona possui um par de ZSK. A chave privada é usada para criar assinaturas digitais para o RRset. Essas assinaturas são armazenadas como registros RRSIG no servidor de nomes. A chave pública associada, armazenada em um registo DNSKEY, verifica as assinaturas, confirmando a autenticidade do RRset. No entanto, são necessárias medidas adicionais para validar a ZSK pública. Para isso, é utilizada uma chave de assinatura de chave.

Uma chave de assinatura de chave é outro par de chaves pública/privada e é usado para verificar se a chave de assinatura da zona pública não está comprometida.

As extensões de segurança DNS fornecem um framework criptograficamente protegido projetado para melhorar a segurança e a confiabilidade do DNS. Em sua essência, o DNSSEC emprega um sistema de pares de chaves públicas e privadas. Para habilitar a validação DNSSEC, um administrador de zona gera assinaturas digitais (armazenadas como registros RRSIG) usando a chave de assinatura de zona privada e uma chave pública correspondente que é distribuída como um registro DNSKEY. Uma chave de assinatura de chave é usada para assinar e autenticar o ZSK, fornecendo uma camada adicional de segurança.

Os resolvedores DNS, quando consultados, recuperam o RRset solicitado e o registro RRSIG associado, que contém a chave de assinatura de zona privada. Em seguida, o resolvedor solicita o registro DNSKEY que contém a chave ZSK pública. Esses três ativos juntos validam a resposta que o resolvedor recebe. No entanto, a autenticidade do ZSK público ainda precisa ser verificada. É aqui que entram as chaves de assinatura de chave.

A chave de assinatura de chave é usada para assinar a ZSK pública e criar um RRSIG para a DNSKEY. O servidor de nomes publica uma KSK pública em um registro DNSKEY, como fez para a ZSK pública. Isso cria um RRset contendo ambos os registros DNSKEY. Eles são assinados pela KSK privada e validados pela KSK pública. Essa autenticação valida a ZSK pública – o objetivo da KSK – e verifica a autenticidade do RRset solicitado.

O DNSSEC opera com base no princípio de estabelecer uma "cadeia de confiança" em toda a hierarquia DNS e na assinatura de dados DNS em cada nível para criar um caminho verificável que garanta a integridade e a autenticidade dos dados. Cada link na cadeia é protegido com assinaturas digitais, criando uma âncora de confiança que começa nos servidores de zona raiz e se estende pelos servidores de domínio de nível superior (TLD) para os servidores DNS autoritativos para domínios individuais.

Os registros do signatário da delegação (DS) são usados para permitir a transferência de confiança de uma zona principal para uma zona secundária. Quando um resolvedor é encaminhado para uma zona secundária, a zona principal fornece um registro DS que contém um hash do registro DNSKEY da zona principal. Isso é comparado com o KSK público criptografado da zona secundária. Uma correspondência indica a autenticidade do KSK público e permite que o resolvedor saiba que os registros no subdomínio (zona secundária) são confiáveis. Esse processo funciona de zona para zona, estabelecendo uma cadeia de confiança.

O DNSSEC e a segurança do DNS são conceitos relacionados no âmbito da segurança da internet, cada um com um foco e um escopo distintos. O DNSSEC refere-se especificamente a um conjunto de extensões de DNS projetadas para fortalecer a segurança do Sistema de Nomes de Domínio. Seu principal objetivo é garantir a integridade e a autenticidade dos registros do DNS por meio de criptografia de chave pública e privada.

A segurança do DNS é um termo mais amplo que engloba uma abordagem abrangente para proteger todo o ambiente do DNS. Embora o DNSSEC seja um componente crucial da segurança do DNS, o escopo da segurança do DNS vai além dos protocolos específicos do DNSSEC. A segurança do DNS lida com uma ampla variedade de ameaças, incluindo ataques de distributed denial-of-service ou (DDoS) e roubo de domínio, fornecendo uma estratégia abrangente de proteção contra atividades maliciosas que possam comprometer a infraestrutura do DNS.