DNSSEC
O que é DNSSEC?
DNSSECConjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS.
O DNSSEC (Domain Name System Security Extensions) adiciona assinaturas criptográficas aos registos DNS para que os resolvedores possam provar que a resposta vem da zona legítima e não foi adulterada em trânsito. Cada zona assina os seus registos com uma chave privada e publica a chave pública correspondente em registos DNSKEY, enquanto uma cadeia de confiança é construída a partir da zona raiz através de registos DS em cada delegação. Os resolvedores validadores rejeitam respostas com assinaturas inválidas ou ausentes, neutralizando o envenenamento de cache DNS e a falsificação em rota. O DNSSEC não oferece confidencialidade e deve ser combinado com DoH ou DoT para ocultar as consultas a observadores.
● Exemplos
- 01
Um banco assina a sua zona para que os resolvedores rejeitem registos A falsificados vindos de uma cache envenenada.
- 02
Os registos de domínios de topo publicam registos DS para ancorar a cadeia de confiança das zonas delegadas.
● Perguntas frequentes
O que é DNSSEC?
Conjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS. Pertence à categoria Segurança de rede da cibersegurança.
O que significa DNSSEC?
Conjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS.
Como se defender contra DNSSEC?
As defesas contra DNSSEC costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DNSSEC?
Nomes alternativos comuns: Extensões de segurança do DNS.