Definición DNSSEC
Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son un conjunto de especificaciones que amplían el protocolo DNS añadiendo autenticación criptográfica a las respuestas recibidas de los servidores DNS autorizados. Su objetivo es defenderse de las técnicas que utilizan los piratas informáticos para dirigir los ordenadores a sitios web y servidores fraudulentos. Aunque DNSSEC ya se ha implantado en muchos de los dominios de nivel superior (TLD) genéricos y del país, su adopción a nivel de dominio individual y de usuario final se ha quedado rezagada.
¿Cómo funciona DNSSEC?
DNSSEC (Domain Name System Security Extensions) funciona agregando firmas digitales a los registros DNS para garantizar su autenticidad e integridad. Cuando un usuario hace una solicitud DNS para acceder a un sitio web, su dispositivo se comunica con un servidor DNS para obtener la dirección IP del sitio web. Si ese servidor DNS es compatible con DNSSEC, devolverá no solo la dirección IP solicitada, sino también una firma digital que protege la integridad del registro DNS.
El proceso de agregar la firma digital comienza con la autoridad de certificación (CA) que emite una clave privada para el servidor DNS. Esta clave privada se utiliza para firmar los registros DNS que se almacenan en el servidor. La clave pública correspondiente se distribuye a otros servidores DNS para verificar la autenticidad de las firmas digitales.
Cuando un usuario solicita un registro DNS protegido por DNSSEC, el servidor DNS de destino devuelve la firma digital y la clave pública correspondiente. El dispositivo del usuario puede entonces verificar la autenticidad de la firma digital utilizando la clave pública y compararla con la información del registro DNS.
Si la firma digital es auténtica, el dispositivo del usuario puede confiar en que el registro DNS es legítimo y no ha sido modificado en tránsito. Esto ayuda a proteger contra ataques de envenenamiento de caché DNS y phishing y brinda una capa adicional de seguridad para las comunicaciones en línea.
¿Es necesario DNSSEC y por qué es importante?
Tanto si tienes un sitio web para una pequeña empresa como un portal con mucho tráfico, siempre estarás expuesto a ataques en línea, especialmente, los que se originan en los servidores DNS que todos utilizamos a diario. Evidentemente los ataques a las DNS te amenazan, sobre todo, en tiempos de inactividad y con la pérdida de clientes o de importantes rankings SEO. Los ataques de DNS más típicos que afectan a los sitios web sin DNSSEC incluyen, entre otros, el secuestro de DNS(hijacking) y la suplantación de DNS (spoofing).
Conclusión
Un solo ataque DNS exitoso a tu dominio es suficiente para dañar permanentemente la integridad de tu ecosistema digital y la reputación de tu marca en su conjunto. Por ende, las firmas criptográficas DNSSEC refuerzan el proceso de resolución DNS para proteger tu dominio de ciberamenazas como el envenenamiento de caché y la falsificación de respuestas. En última instancia, DNSSEC ayuda a garantizar la autenticidad e integridad de los registros DNS y mejora la seguridad en línea en general.
Recursos
https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en
https://www.namecheap.com/support/knowledgebase/article.aspx/9717/2232/what-is-dnssec/