DNSSEC
Pilha de protocolos TCP/IP |
---|
Camada de aplicação |
Camada de transporte |
Camada de rede |
Camada de enlace de dados |
Domain Name System Security Extensions (DNSSEC) é um padrão internacional que estende a tecnologia Domain Name System (DNS).[1] O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e domínios forjados. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia que emprega assinaturas. DNSSEC utiliza um sistema de chaves assimétricas. Isso significa que alguém com um domínio compatível com DNSSEC possui um par de chaves eletrônicas que consistem em uma chave privada e uma chave pública. Em razão do mantenedor das chaves utilizar a chave privada para assinar digitalmente sua própria zona no DNS, é possível que todo mundo com acesso a chave pública desta zona verifique que os dados transferidos desta zona estão intactos.
DNSSEC soluciona alguns problemas encontrados na atual tecnologia DNS. Falsas informações DNS criam oportunidades para roubo de informações de terceiros ou alteração de dados em diversos tipos de transações, como compras eletrônicas. Sem a tecnologia DNSSEC, um ataque DNS com informação forjada é extremamente difícil de ser detectado e na prática impossível de ser prevenido. O objetivo da extensão DNSSEC é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações.
Finalidades do DNSSEC
[editar | editar código-fonte]Provê segurança para a resolução de endereços.
Funciona como um caminho alternativo para a verificação de autenticidade.
Estas operações ocorrem antes de qualquer verificação de segurança em camadas superiores (SSL, SSH, PGP etc…).
Como funciona
[editar | editar código-fonte]- A autenticidade e integridade são providas pela assinatura dos Conjuntos de Registros de Recursos (Resource Records Sets - RRset) com uma chave privada.
- Zonas delegadas (filhas) assinam seus próprios RRsets com sua chave privada.
- Autenticidade da chave é verificada pela assinatura na zona pai do Recurso DS (Record DS) (hash da chave pública da zona filha).
- A chave pública é usada para verificar RRSIGs dos RRsets.
- Autenticidade da não existência de um nome ou tipo provida por uma cadeia de registros que aponta para o próximo em uma sequência canônica.
DNSSEC no .br
[editar | editar código-fonte]Atualmente o Registro.br é o responsável pela implantação de DNSSEC nas TLDs .br
Entrou em operação no.br a partir de 04 de Junho de 2007.
O DNSSEC é uso obrigatório somente nos domínios B.BR, DEF.BR, JUS.BR, LEG.BR, MP.BR e TC.BR. Para todos os outros DPNs a utilização de DNSSEC é opcional.
Este serviço está disponível para nomes registrados diretamente abaixo dos seguintes domínios:
DPNs genéricos (Para pessoas físicas ou jurídicas)
- COM.BR Atividades comerciais
- NET.BR Atividades comerciais
DPNs para pessoas jurídicas
- AGR.BR Empresas agrícolas, fazendas
- AM.BR Empresas de radiodifusão sonora
- ART.BR Artes: música, pintura, folclore
- B.BR Bancos
- COOP.BR Cooperativas
- ESP.BR Esporte em geral
- FAR.BR Farmácias e drogarias
- FM.BR Empresas de radiodifusão sonora
- G12.BR Entidades de ensino de primeiro e segundo grau
- GOV.BR Entidades do governo federal
- IMB.BR Imobiliárias
- IND.BR Indústrias
- INF.BR Meios de informação (rádios, jornais, bibliotecas, etc..)
- JUS.BR Entidades do Poder Judiciário
- MIL.BR Forças Armadas Brasileiras
- ORG.BR Entidades não governamentais sem fins lucrativos
- PSI.BR Provedores de serviço Internet
- RADIO.BR Entidades que queiram enviar áudio pela rede
- REC.BR Atividades de entretenimento, diversão, jogos, etc…
- SRV.BR Empresas prestadoras de serviços
- TMP.BR Eventos temporários, como feiras e exposições
- TUR.BR Entidades da área de turismo
- TV.BR Empresas de radiodifusão de sons e imagens
- ETC.BR Entidades que não se enquadram nas outras categorias
DPNs para Profissionais Liberais Somente para pessoas físicas)
- ADM.BR Administradores
- ADV.BR Advogados
- ARQ.BR Arquitetos
- ATO.BR Atores
- BIO.BR Biólogos
- BMD.BR Biomédicos
- CIM.BR Corretores
- CNG.BR Cenógrafos
- ECN.BR Economistas
- ENG.BR Engenheiros
- ETI.BR Especialista em Tecnologia da Informação
- FND.BR Fonoaudiólogos
- FOT.BR Fotógrafos
- FST.BR Fisioterapeutas
- GGF.BR Geógrafos
- JOR.BR Jornalistas
- LEL.BR Leiloeiros
- MAT.BR Matemáticos e Estatísticos
- MED.BR Médicos
- MUS.BR Músicos
- NOT.BR Notários
- NTR.BR Nutricionistas
- ODO.BR Dentistas
- PPG.BR Publicitários e profissionais da área de propaganda e marketing
- PRO.BR Professores
- PSC.BR Psicólogos
- QSL.BR Rádio amadores
- SLG.BR Sociólogos
- TAXI.BR Taxistas
- TRD.BR Tradutores
- VET.BR Veterinários
- ZLG.BR Zoólogos
DPNs para Pessoas Físicas
- BLOG.BR Web logs
- FLOG.BR Foto logs
- NOM.BR Pessoas Físicas
- VLOG.BR Vídeo logs
- WIKI.BR Páginas do tipo 'wiki'
Referências
[editar | editar código-fonte]- ↑ http://registro.br/suporte/faq/faq8.html DNSSEC é um padrão internacional que estende a tecnologia DNS.
Ligações externas
[editar | editar código-fonte]- Tutorial DNSSEC
- Organizações & Web sites
- «Perguntas Frequentes - Registro.br»
- «DNSSEC information site: DNSSEC.net»
- «DNS Extensions IETF Working Group»
- «DNSSEC Deployment Coordination Initiative»
- RFC 2535 Domain Name System Security Extensions
- RFC 3833 A Threat Analysis of the Domain Name System
- RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
- RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
- RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
- RFC 4398 Storing Certificates in the Domain Name System (DNS)
- RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
- RFC 4641 DNSSEC Operational Practices
- Outros Documentos