O DNSSEC (Domain Name System Security Extensions) é um padrão internacional que estende a tecnologia DNS. O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e dominios forjados. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia que emprega assinaturas. DNSSEC utiliza um sistema de chaves assimétricas. Isso significa que alguém com um domínio compatível com DNSSEC possui um par de chaves eletrônicas que consistem em uma chave privada e uma chave pública. Em razão do mantenedor das chaves utilizar a chave privada para assinar digitalmente sua própria zona no DNS, é possível que todo mundo com acesso a chave pública desta zona verifique que os dados tranferidos desta zona estão intactos.
DNSSEC soluciona alguns problemas encontrados na atual tecnologia DNS. Falsas informações DNS criam oportunidades para roubo de informações de terceiros ou alteração de dados em diversos tipos de transações, como compras eletrônicas. Na tecnologia DNS, um ataque DNS com informação forjada é extremamente dificil de ser detectado e na pratica impossível de ser previnido. O objetivo da extensão DNSSEC é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações.
Para que serve DNSSEC
Prove segurança para a resolução de endereços. Funciona como um caminho alternativo para a verificação de autenticidade. Estas operações ocorrem antes de qualquer verificação de segurança em camadas superiores (SSL, SSH, PGP etc…).
Como funciona
* A autenticidade e integridade são providas pela assinatura dos Conjuntos de Registros de Recursos (Resource Records Sets - RRset) com uma chave privada.
* Zonas delegadas (filhas) assinam seus proprios RRsets com sua chave privada.
* Autenticidade da chave é verificada pela assinatura na zona pai do Recurso DS (Record DS) (hash da chave pública da zona filha).
* A chave pública é usada para verificar RRSIGs dos RRsets.
* Autenticidade da não existência de um nome ou tipo provida por uma cadeia de registros que aponta para o próximo em uma sequência canônica.
DNSSEC no .br
Atualmente o Registro.br é o responsavel pela implantação de DNSSEC nas TLDs .br
A partir de 04 de Junho de 2007, entrou em operação DNSSEC no .br. Em uma primeira fase este serviço estará disponível somente para nomes registrados diretamente abaixo dos seguintes domínios:
* .br
* AGR.BR Empresas agrícolas, fazendas
* AM.BR Empresas de radiodifusão sonora
* COOP.BR Cooperativas
* ESP.BR Esporte em geral
* FAR.BR Farmácias e drogarias
* FM.BR Empresas de radiodifusão sonora
* G12.BR Entidades de ensino de primeiro e segundo grau
* GOV.BR Entidades do governo federal
* IMB.BR Imobiliárias
* MIL.BR Forças Armadas Brasileiras
* NET.BR Detentores de autorização para os serviços de Comunicação Multimídia (SCM), Rede e Circuito Especializado (SLE) da Anatel e/ou * detentores de Sistema Autônomo conectado a Internet conforme o RFC1930
* PSI.BR Provedores de serviço Internet
* REC.BR Atividades de entretenimento, diversão, jogos, etc…
* TMP.BR Eventos temporários, como feiras e exposições
* TV.BR Empresas de radiodifusão de sons e imagens
* ETC.BR Entidades que não se enquadram nas outras categorias
* ATO.BR Atores
* BIO.BR Biólogos
* BMD.BR Biomédicos
* CIM.BR Corretores
* CNG.BR Cenógrafos
* ECN.BR Economistas
* ENG.BR Engenheiros
* ETI.BR Especialista em Tecnologia da Informação
* FND.BR Fonoaudiólogos
* FOT.BR Fotógrafos
* FST.BR Fisioterapeutas
* GGF.BR Geógrafos
* JOR.BR Jornalistas
* LEL.BR Leiloeiros
* MAT.BR Matemáticos e Estatísticos
* NOT.BR Notários
* NTR.BR Nutricionistas
* ODO.BR Dentistas
* PPG.BR Publicitários e profissionais da área de propaganda e marketing
* PSC.BR Psicólogos
* QSL.BR Rádio amadores
* SLG.BR Sociólogos
* TRD.BR Tradutores
* VET.BR Veterinários
* ZLG.BR Zoólogos
* BLOG.BR Web logs
* FLOG.BR Foto logs
* VLOG.BR Vídeo logs
* WIKI.BR Páginas do tipo ‘wiki’
