DNSSEC
¿Qué es DNSSEC?
DNSSECConjunto de extensiones del DNS que usa firmas digitales para que los resolutores verifiquen la autenticidad e integridad de los registros DNS.
DNSSEC (Domain Name System Security Extensions) añade firmas criptográficas a los registros DNS para que los resolutores puedan demostrar que la respuesta proviene de la zona legítima y no ha sido alterada en tránsito. Cada zona firma sus registros con una clave privada y publica la clave pública correspondiente en registros DNSKEY, mientras que una cadena de confianza se construye desde la raíz mediante registros DS en cada delegación. Los resolutores validadores rechazan respuestas con firmas erróneas o ausentes, lo que neutraliza el envenenamiento de caché DNS y la suplantación en ruta. DNSSEC no proporciona confidencialidad y debe combinarse con DoH o DoT para ocultar las consultas a observadores.
● Ejemplos
- 01
Un banco firma su zona para que los resolutores rechacen registros A falsificados en una caché envenenada.
- 02
Los registros de dominios de nivel superior publican registros DS que anclan la cadena de confianza de las zonas delegadas.
● Preguntas frecuentes
¿Qué es DNSSEC?
Conjunto de extensiones del DNS que usa firmas digitales para que los resolutores verifiquen la autenticidad e integridad de los registros DNS. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DNSSEC?
Conjunto de extensiones del DNS que usa firmas digitales para que los resolutores verifiquen la autenticidad e integridad de los registros DNS.
¿Cómo defenderse de DNSSEC?
Las defensas contra DNSSEC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DNSSEC?
Nombres alternativos comunes: Extensiones de seguridad del DNS.